INTRODUZIONE 



LA PRIVACY, 

NEL CASSETTO DEI CALZINI 



Il confine tra tutela della privacy e necessità di conoscere dati personali 
per interesse pubblico è sempre più labile. E proprio muovendosi su 
questo confine diritto e tecnologia si interrogano sulle scelte da prendere 



di Marco Cattaneo 



Novantacinquemilacinquecento euro e 
spiccioli. È il reddito che ho dichiarato 
nel 2005, relativo all'anno fiscale 2004. 
E che il 30 aprile scorso è apparso per qualche ora 
sul sito web dell'Agenzia delle Entrate, prima che 
si scatenasse la tempesta per la violazione della 
privacy. Per parte mia, non ho nessun problema a 
renderlo pubblico. 

Qualche ora fa, invece, ho chiuso il mio account 
su Facebook, che avevo aperto un paio di settima- 
ne prima, curioso come milioni di altri utenti della 
rete. Quando ho avviato la procedura, il popolare 
sito di socializzazione mi ha informato che avevo 
raggranellato 14 amici (più d'uno non l'avevo mai 
visto né conosciuto), grazie ai quali il mio network 
era costituito da 520.000 persone. Troppe. 

Qualcuno, probabilmente, la penserà in modo 
diametralmente opposto. Non vorrebbe far sape- 
re il suo reddito, ma è felice di stare in rete per- 
ché, come recitava una certa canzonetta, «un ami- 
co è qualcosa che più ce n'è meglio è». E non si 
sente turbato dal fatto che i suoi «amici» passino 
la giornata a commentare i suoi gusti musicali, a 
inviargli messaggi per sostenere la causa «Salvia- 
mo il Grande Puffo» o a vedere su Youtube il fil- 
mato di quella volta che, ubriaco fradicio, faceva 
le avance a un maschio di pastore maremmano. 
Personalmente, invece, trovo irritante che dei per- 
fetti sconosciuti frughino nei cassetti di casa mia, 
tra bicchieri di cristallo e calzini da rammendare. 
Ovvero tra le mie fragilità e le mie vergogne. 
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E forse uno dei problemi centrali della riflessio- 
ne sulla privacy è proprio questo. Che l'idea di pri- 
vacy è personale. E dunque le leggi che la tutelano 
e soprattutto gli strumenti per applicarle non do- 
vrebbero considerarla soltanto dal punto di vista 
di chi è interessato ad acquisire le informazioni, 
come i governi o le aziende, e - in senso generale 
- dei cittadini che desiderano preservarle. Ma an- 
che dal punto di vista personale, e dunque variabi- 
le, del singolo individuo, perché ognuno di noi ha 
sensibilità diversa in materia dei diversi gradi di 
intimità dell'informazione. 

E per questo che diritto e tecnologia - come te- 
stimoniano gli articoli raccolti nelle pagine che se- 
guono - continuano a interrogarsi su quali siano 
gli strumenti più idonei per assicurare da un la- 
to la massima trasparenza di dati che potrebbero 
rivelarsi di incomparabile utilità in campi come i 
servizi pubblici, la lotta al crimine o l'epidemio- 
logia; e, dall'altro, garantire in termini generali ai 
cittadini la tutela dei loro diritti e in termini indivi- 
duali la riservatezza delle informazioni che ciascu- 
no ritiene attinenti alla sfera personale. 

Nell'era dell'informazione, in cui la conoscenza 
dei nostri comportamenti è oggetto di una caccia 
selvaggia per le ragioni più disparate, solo dallo 
sforzo congiunto di politica e tecnologia potranno 
fiorire gli strumenti per combinare le esigenze del 
pubblico, del privato e del singolo. E forse trovere- 
mo anche un posto dove i nostri calzini bucati non 
siano sotto gli occhi di tutti. ■ 
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LA MODERNA CRITTOGRAFIA 
può mettere al sicuro i dati sensibili 
delle persone anche se si espongono 
ai pericoli di Internet. 
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COME MANTENERE UN 

SEGRETO 



Numerose tecniche di calcolo possono proteggere la privacy delle nostre 
informazioni e attività su Internet con il grado di accuratezza che vogliamo 



di Anna Lysyanskaya 



Paolo ha deciso di provare il servizio di ap- 
puntamenti on line Chix-n- Studz.com. Per 
ottenere un account sul sito web compi- 
la diversi moduli, fornendo i dettagli personali e le 
caratteristiche che cerca in un potenziale partner. 
In breve tempo il servizio gli offre una gamma di 
possibili cuori solitari compatibili, e tra questi un 
profilo molto promettente, quello di Vanessa. Così 
Paolo le spedisce il suo indirizzo di posta elettroni- 
ca, sperando di aver scritto un messaggio accatti- 
vante. Lei risponde, e comincia un turbinoso epi- 
stolario digitale. 

Povero Paolo. Presto riceve anche numerose te- 
lefonate non richieste da parte di gruppi politici e 
venditori che sembrano sapere tutto su di lui, men- 
tre la sua assicurazione sanitaria lo interroga sulle 
vacanze estremamente avventurose. È facile intu- 
ire che i proprietari poco scrupolosi della Chix-n- 
Studz vendono informazioni che riguardano i lo- 
ro clienti. In più c'è Ivan, un collega dispettoso, al 
quale Paolo mostra una delle e-mail di Vanessa. 
Paolo non sa che molti messaggi con Vanessa co- 
me mittente sono, in realtà, scherzi di Ivan. 

Alice, invece, è felice di avere un nuovo amico, 
Bruno. I due si sono incontrati grazie a Sophisti- 
Cats.com, un servizio di incontri on line che offre 
tutti i più recenti strumenti crittografici. Alice entra 
nel suo sito web protetto da autorizzazione anoni- 
ma, cioè un sistema grazie a cui non si può traccia- 
re la persona che accede al sito. SophistiCats usa un 
programma che fa combaciare il profilo e i criteri di 
Alice per la scelta del partner con quelli di Bruno, 
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in modo che nessuno all'interno del servizio possa 
conoscere le informazioni che li riguardano o sape- 
re se i due sono compatibili. È difficile immaginare 
un sistema di appuntamenti così efficace, che non 
sa praticamente nulla dei suoi clienti! 

Alice ha contattato Bruno usando un'opzio- 
ne conosciuta come «canale anonimo», e lui ha ri- 
sposto in modo simile: neanche l'Internet Service 
Provider (ISP) di Alice, ovvero l'azienda che le for- 
nisce l'accesso alla rete, sa che Bruno è il suo con- 
tatto e che cosa si dicono. E l'ISP di Bruno non è 
certo meglio informato. Tuttavia la coinquilina di 
Alice, Eva, sa di Bruno, ma solo perché Alice ne ha 
parlato e ha stampato alcuni suoi messaggi, attac- 
candoli sul computer. Eva potrebbe essere un pro- 
blema, perché, essendo un'esperta di computer e 
reti, è in grado di intercettare e modificare dati che 
entrano ed escono dal computer di Alice (in prati- 
ca Eva controlla la rete che connette entrambe a 
Internet). Niente paura: la crittazione assicura che 
Eva conosca solo le informazioni comunicatele da 
Alice, e le «firme digitali» codificate nelle e-mail 
di Bruno e Alice riescono facilmente a rivelare e 
ignorare i messaggi ingannevoli di Eva. 

Tutto criptato 

Come Alice e Paolo, molti di noi conducono per 
via telematica numerose attività che riguardano la 
loro vita personale e lavorativa. Facciamo tante 
cose on line che ottenere informazioni dettaglia- 
te sulla maggior parte delle persone è facile quan- 
to raccogliere, o registrare, le loro attività in rete. 



IN SINTESI 

La moderna crittografia 
offre un'ampia gamma di 
strumenti matematici per 
proteggere privacy e 
sicurezza, che vanno ben 
oltre l'antica arte di criptare 
i messaggi. 

È possibile impedire ad altri 
di conoscere quello che 
stiamo dicendo e a chi. 

- È possibile restare anonimi 
anche nelle attività 
online che richiedono 
una sottoscrizione 

e informazioni personali. 

- I gruppi possono calcolare 
praticamente ogni cosa 
partendo da dati dei loro 
membri (come il vincitore 
di un'elezione per cui 
votano) senza rivelare nulla 
dei dati individuali. 
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E per varie ragioni, gli ISP stanno già registrando 
dati sulle nostre attività, quali siti abbiamo visita- 
to e quando. Ma non sono soli. Anche molti sog- 
getti con cui interagiamo virtualmente - negozi, 
giornali, siti di appuntamenti e così via - manten- 
gono schede accurate su di noi. Quindi, se ritenia- 
mo che la privacy sia un bene prezioso, dobbia- 
mo affrontare la sfida di come trarre vantaggio da 
quello che ci offre Internet ma senza rinunciare al- 
la nostra privacy. 

Una scoperta sbalorditiva della moderna critto- 
grafia è che praticamente tutte le attività che coin- 
volgono la comunicazione elettronica si possono 
svolgere in forma anonima. Molte persone, com- 
presi diversi editori di dizionari, pensano erro- 
neamente che «crittografia» sia sinonimo di «stu- 
dio della crittazione». Ma la moderna crittogra- 
fia è molto di più: fornisce metodi matematici che 
consentono di proteggere comunicazioni e calcolo 
da qualsiasi comportamento fraudolento, fornen- 
do quindi anche strumenti per proteggere la nostra 
privacy e la nostra sicurezza. 

Si supponga, per esempio, che tutti i membri di 
un gruppo che comunicano usando Internet vo- 
gliano fare un calcolo basato su dati che proven- 
gono da ciascuno di loro e che devono rimanere 
riservati. I dati potrebbero essere i voti di un'ele- 
zione, e il risultato l'esito della votazione, che pe- 
rò non riveli i voti individuali. Una procedura no- 
ta come calcolo multiparty o valutazione della 
funzione di sicurezza, s ecure function evaluation 
(SFE), consente di registrare i voti in modo che cia- 
scun partecipante apprenda il risultato esatto sen- 
za conoscere il voto di un altro membro del grup- 
po. Questa stessa procedura impedisce anche a 
eventuali intrusi di intercettare e manipolare i vo- 
ti dei membri. Inoltre il protocollo SFE può fornire 
a ogni individuo un risultato personale, come nel 
caso del servizio di SophistiCats. 

L'idea alla base della SFE è che il dato prove- 
niente da ciascun membro è diviso in parti, o quo- 
te, e distribuito tra gli altri membri del gruppo. 
Ogni membro quindi elabora le quote (sommando- 
le, ridistribuendole e così via) sotto il suo control- 
lo. Infine il gruppo rimette insieme i pezzi per ot- 
tenere il risultato. In questo modo nessuno è mai 
in possesso delle informazioni necessarie per rico- 
struire i dati immessi da un'altra persona [si veda il 
box in questa pagina). 

Potrebbe non sorprendere che una funzione co- 
sì semplice come la somma di voti sia considerata 
sicura, ma ricordiamo quello che ha fatto Sophisti- 
Cats per Alice: scegliendo tra migliaia di utenti, ha 
individuato quali potessero andare bene ad Alice, 
dandole scarne informazioni sulle affinità, il tut- 



Calcolare insieme 



La valutazione della funzione di sicurezza consente a un gruppo di fare calcoli partendo 
dai dati dei singoli, ma impedendo ai singoli di conoscere i dati altrui. 



Alice, Bruno e Carla vogliono calcolare 
il loro peso complessivo 
senza rivelare il proprio. 



Ciascuno sceglie tre numeri, o «quote», 

tra e 1 000. Due quote sono casuali, e la 

terza rende il totale uguale al peso della 

persona modulo 1 000. Per esempio Alice, 

che pesa 50 chilogrammi, può usare 1 1 0, 

660 e 280 che sommati fanno 1050. 



Ciascuno distribuisce due delle proprie 
quote agli altri partecipanti. 



Ciascuno somma alla quota che possiede 
le due quote che riceve dagli altri 
partecipanti, ancora modulo 1000. 
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810 1150 -► 150 1230 -► 230 



Poi forniscono i 



loro risultato 
agli altri due. 



Ciascuno può sommare 

i tre numeri e ottenere il loro peso 

totale, ma nessuno può ricavare il peso 

di un altro membro del gruppo. 




810 + 150 + 230 = 1190^190 
190| |l9o| [ 190 



Una procedura più complicata consente ai gruppi di moltiplicare tra loro i numeri privati. 
Sommando e moltiplicando bit, è possibile calcolare qualunque cosa si possa valutare dai loro 
dati grazie all'uso del computer. L'intero sistema salvaguarda anche le persone dalla deviazione 
dalle regole. 



LA STORIA 
IN PILLOLE (I) 

800 d.C: al-Kindi, studioso e 
matematico arabo che vive a 
Baghdad, scrive il Manoscritto sulla 
decifrazione dei messaggi criptati. Si 
tratta della prima descrizione nota 
dell'analisi della frequenza e di altre 
tecniche di crittoanalisi. 



1586: Thomas Phelippes usa l'analisi 
della frequenza per decrittare 
messaggi tra Maria I di Scozia 
e i cospiratori contro Elisabetta I 
d'Inghilterra. Maria e i cospiratori 
vengono giustiziati. 



to senza sapere nulla sul suo profilo o su quello di 
qualsiasi altro utente. Anche un'organizzazione ti- 
po Grande Fratello che intercettasse il traffico della 
rete o combinasse i dati dei dischi rigidi della So- 
phistiCats non ricaverebbe alcuna informazione. 

SophistiCats è un servizio immaginario, ma gli 
specialisti di crittografia hanno già mostrato come 
metterlo in pratica. Nel gennaio di quest'anno il 
protocollo SFE è stato usato in Danimarca per un 
problema pratico: fissare il prezzo per gli scambi 
della barbabietola da zucchero con un accordo tra 
circa 1200 agricoltori danesi, basandosi sulle of- 
ferte fatte da ciascun agricoltore. Con SFE è possi- 
bile che tutti abbiano i servizi che desiderano sen- 
za sacrificare la privacy. 
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Nascondere il contenuto 



Le moderne tecniche di crittazione dell'informazione sono di due tipi: a chiave segreta 
e a chiave pubblica. 




SISTEMA A CHIAVE SEGRETA 

Alice e Bruno condividono una chiave 
che mantengono segreta. Alice cripta 
il proprio messaggio usando questa 
chiave e invia il risultante testo cifrato 
a Bruno, che a sua volta usa la stessa 
chiave per decrittarlo. 





SISTEMA A CHIAVE PUBBLICA 

Bruno crea due chiavi accoppiate, una 
che mantiene segreta e l'altra che 
rende pubblica. Alice (o un'altra 
persona) usa la chiave pubblica per 
criptare un messaggio, ma solo Bruno, 
con la chiave segreta, può decrittarlo. 




Anche se il protocollo SFE rende possibi- 
le un'ampia gamma di funzionalità, la sua poten- 
za e universalità ha un prezzo: richiede un'enorme 
quantità di calcolo e comunicazione. Il protocol- 
lo è efficiente per compiti speciali come le elezio- 
ni, ma è troppo ingombrante per essere inserito in 
un servizio ogni volta che si clicca su un link a una 
pagina sicura. Per questo gli studiosi di informati- 
ca hanno sviluppato protocolli più efficienti, per i 
compiti comuni. Tra questi ricordiamo: 

Crittazione. L'ISP di Alice e quello di Eva non pos- 
sono decifrare i messaggi che Alice invia a Bruno. 
Anche il traffico tra il computer di Alice e la So- 
phistiCats è sicuro. 

Autenticazione. Alice può essere sicura che i mes- 
saggi arrivino da Bruno e non da Eva. 
Canali anonimi. L'ISP di Alice non può conoscere il 
destinatario dei suoi messaggi o se Alice ha visita- 
to il sito SophistiCats. 

Dimostrazione a conoscenza zero. Alice può dimo- 
strare a un'altra persona che una cosa è vera senza 
rivelare nulla delle prove che ha. 
Autorizzazione anonima. La SophistiCats sa che 
Alice è iscritta quando accede al sito Web, ma non 
è in grado di dire chi sia. Questo protocollo è un 
caso speciale della prova a conoscenza zero. 



LA STORIA 
IN PILLOLE (II) 

1918: Il maggiore dell'Esercito 
degli Stati Uniti Joseph 0. Mauborgne 
e Gilbert Vernam, degli AT&T Bell 
Laboratories, inventano il one-time 
pad, un sistema crittografico 
in cui una chiave segreta casuale 
è lunga quanto lo stesso messaggio 
e viene usata una sola volta. 

1944: A Bletchley Park, in Inghilterra, 
il Colossus (la prima macchina 
di calcolo programmabile) decritta 
i messaggi dell'Alto comando tedesco 
fornendo preziose informazioni prima 
dello sbarco in Normandia. 

1948: Claude Shannon degli AT&T Bell 
Laboratories dimostra che il one-time 
pad è inviolabile anche per chi ha 
potenza di calcolo illimitata. Ma la 
definizione di segretezza è così stretta 
che Shannon dimostra anche che 
il one-time-pad è l'unico sistema 
crittografico in grado di soddisfarla. 



Messaggi segreti 

Il problema più vecchio e tra i più fondamen- 
tali studiati in crittografìa è la crittazione: come 
comunicare in modo sicuro su un canale insicu- 
ro, cioè che può essere spiato. Alice vuole invia- 
re un messaggio a Bruno ma Eva controlla par- 
te del canale usato da Alice, cioè la rete della casa. 
Alice vuole che Bruno possa leggere il messaggio, 
ma non Eva. 

Neil' analizzare questo problema si noti, in pri- 
mo luogo, che Bruno deve sapere qualcosa che 
Eva non sa, altrimenti Eva sarebbe in grado di fa- 
re tutto ciò che è in grado di fare Bruno. L'elemen- 
to riservato di Bruno è la sua chiave segreta (CS). 
In seconda battuta, occorre notare che Alice de- 
ve conoscere qualcosa della CS di Bruno in modo 
da creare un messaggio criptato per Bruno. Se Ali- 
ce conosce la CS, il protocollo è chiamato critta- 
zione a chiave segreta, un tipo di crittazione usa- 
to da secoli. 

Nel 1976 Whitfield Diffie e Martin E. Hellman, 
entrambi alla Stanford University, intuirono un'al- 
tra possibilità, chiamata crittazione a chiave pub- 
blica, in cui Alice non deve necessariamente co- 
noscere la CS. Tutto ciò che le occorre è un valore 
pubblico collegato alla CS chiamato chiave pub- 
blica (CP) di Bruno. Alice usa la CP di Bruno per 
criptare il messaggio, e solo Bruno, con la sua CS, 
può decrittare il testo cifrato [si veda il box in que- 
sta pagina). Non importa che anche Eva conosca 
la CP di Bruno, poiché non può usarla per decifra- 
re il testo. Diffie e Hellman proposero l'idea del- 
la CP, ma non sapevano come produrla. Un anno 
dopo Ronald L. Rivest, Adi Shamir e Léonard M. 
Adleman, tutti del Massachusetts Institute of Tech- 
nology, pubblicarono la prima costruzione di un 
sistema di crittazione a chiave pubblica: l'algorit- 
mo RSA. 

Il loro algoritmo funziona per la crittazione 
pubblica perché coinvolge la cosiddetta funzio- 
ne trapdoor (letteralmente «botola» o «trabocchet- 
to», N.d.t). Questa funzione è facile da calcolare 
per produrre il testo cifrato, ma difficile da inverti- 
re per recuperare il testo in chiaro, a meno che non 
venga usata una trapdoor speciale. La trapdoor 
serve da chiave segreta. L'algoritmo RSA è stato il 
primo esempio di funzione con proprietà di tipo 
trapdoor. Per questo risultato, nel 2002 gli studio- 
si hanno vinto il premio Turing, il riconoscimento 
più prestigioso nel campo dell'informatica. 

La scoperta di Rivest, Shamir e Adleman, salu- 
tata come un progresso fondamentale per la crit- 
tografia, stimolò negli anni successivi la ricerca 
in questo campo. Sono ancora molti gli obiettivi 
da raggiungere: trovare nuove funzioni trapdoor, 
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studiare i postulati matematici su cui è basata la 
sicurezza di una specifica funzione, definire preci- 
samente ciò che è richiesto per considerare sicuro 
ogni sistema di crittazione. 

La crittazione a chiave pubblica permette l'ac- 
quisto on line di prodotti senza inviare informa- 
zioni sensibili come i numeri della carta di credi- 
to in chiaro. Il browser del cliente riveste il ruolo 
di Bruno. Più in generale, il protocollo HTTPS, che 
la maggior parte dei browser ora supporta, usa la 
crittazione a chiave pubblica per fornire ai brow- 
ser web un canale criptato. Molte persone usano la 
crittazione a chiave pubblica anche per messaggi 
di posta elettronica. Sono numerosi i programmi 
dedicati a questo scopo. Se non si cripta l'e-mail, 
il messaggio viaggia su Internet in una forma fa- 
cile da leggere e che potrebbe rimanere tale in va- 
ri dischi rigidi lungo il percorso per un certo perio- 
do di tempo. 



Ciao, sono io! 

Il problema dell'autenticazione è strettamen- 
te collegato a quello della crittazione. Si suppon- 
ga che Alice riceva il messaggio: «Alice, per favore 
invia 100 dollari a Eva. Con amore, Bruno». In che 
modo potrebbe sapere se proviene effettivamente 
dal suo fidanzato Bruno e non da Eva? 

Come nel caso della crittazione, Bruno deve sa- 
pere qualcosa che Eva non sa, in modo che Bruno, 
e non Eva, possa produrre un messaggio che Ali- 
ce accetterà. Anche in questo caso Bruno ha biso- 
gno di una chiave segreta. Inoltre Alice deve sape- 
re qualcosa della CS di Bruno per verificare se un 
messaggio provenga effettivamente da lui. Anco- 
ra una volta ci sono due tipi di protocolli: r^ favore spediscimj 



LA STORIA 
IN PILLOLE (MI) 

1976: Whitfield Diffie e Martin E. 

Hellman, entrambi della Stanford 
University, propongono la crittazione 
e l'autenticazione a chiave pubblica. 

1977: Ronald L. Rivest, Adi Shamir 
e Léonard M.Adleman.del 
Massachusetts Institute of Technology, 
costruiscono il primo sistema 
di crittografia a chiave pubblica: nasce 
l'algoritmo RSA. 

Agosto 1977: In una rubrica di Martin 
Gardner su «Scientific American», 
Rivest e collaboratori sfidano i lettori a 
decifrare un messaggio criptato 
con l'algoritmo RSA con una chiave 
a 129 cifre. Gli stessi autori stimano 
in 40 milioni di miliardi di anni 
il tempo necessario per l'operazione. 



se e quotazioni di borsa non corrette, inducendo le 
persone ad agire contro il proprio interesse. Ma se 
tutta la comunicazione via e-mail fosse autentica- 
ta un simile attacco sarebbe impossibile: il vostro 
programma di posta elettronica firmerebbe tutti i 
messaggi in uscita e verificherebbe le firme digita- 
li di tutti i messaggi in entrata. 

L'autenticazione potrebbe anche combattere lo 
spam, grazie a server che rifiutano e-mail in ar- 
rivo non autenticate dal mittente. I protocolli di 
autenticazione non esistevano negli anni settan- 
ta, quando sono state sviluppate le e-mail, e mol- 
te convenzioni di quell'epoca sono ancora in uso, 
anche se sono disponibili gratuitamente program- 
mi che tutti possono usare per firmare le proprie 
mail e verificare le firme. 

L'ispirazione della cipolla 

Criptando i propri messaggi, è possibile impedi- 
re che l'ISP (o qualunque altra spia) scopra che co- 
sa si invia e si riceve, ma non chi si sta comuni- 
cando. Per esempio l'ISP di Alice sa perfettamente 
se frequenta un sito web di alcolisti anonimi. Si 



Firmare un messaggio 



Una firma digitale garantisce che un messaggio provenga da una specifica persona 
e sia inalterato. 



CREARE UNA FIRMA 

Bruno elabora il messaggio con 
la sua chiave segreta (CS), 
e produce la propria firma 
(una stringa di caratteri) per quel 
messaggio. 



VERIFICARE UNA FIRMA 

Alice elabora il messaggio di Bruno 
e la sua firma con la sua chiave 
pubblica (CP) per verificare che 
combacino l'una con l'altra. 



Per favore spediscimi 
$100-Bruno 

CP di Bruno: 



l'autenticazione a chiave segreta, nota co- 
me codice di autenticazione del messaggio, 
e l'autenticazione a chiave pubblica, spes- 
so indicata come schema di firma digitale. 
Diffie e Hellman per primi hanno immagi- 
nato gli schemi di firma digitale nel periodo ^™ 
in cui hanno proposto la crittazione a chia- 
ve pubblica, e lo schema che usa l'algoritmo RSA è 
stato il primo a essere costruito. 

L'idea è che Bruno usi la CS per calcolare una 
«firma» che allega al suo messaggio e che Alice, o 
altri destinatari, si serva della sua CS per verifica- 
re che vada bene per il messaggio [si veda il box in 
questa pagina). Alice sa che il messaggio deve pro- 
venire da Bruno, perché nessun altro ha la CS ne- 
cessaria per produrre una firma valida. 

Oggi è facile indurre un programma di posta 
elettronica a «credere» che un messaggio proven- 
ga da Bruno quando in effetti proviene da Eva. 
Una e-mail fraudolenta può contenere notizie fal- 



si 00-Bruno 

CS di Bruno: 



Firma di Bruno: 
iQCVAwUBMXV 



Per favore spedisci 
a Eva $1 00-Bruno 

CS:????? 

Firma di Bruno: 
?????? 



RIVELARE UN FALSO 

Eva non può produrre la firma corretta «Bruno» 
da apporre al suo messaggio contraffatto senza 
la chiave segreta di Bruno. 



Firma: 
iQCVAwUBMXV 



TENTARE UNA CONTRAFFAZIONE 

Alice sa di ricevere un messaggio falso 
quando usa la CP di Bruno per far 
combaciare il messaggio con la firma. 




immagini che cosa accadrebbe se l'ISP vendesse 
l'informazione alle compagnie di assicurazione per 
auto. Le persone cercherebbero meno polizze on li- 
ne perché sarebbero preoccupate del rischio di pa- 
gare premi più alti. 

Questo problema si potrebbe risolvere con SFE: 
il dato privato in ingresso di Alice sarebbe l'indi- 
rizzo del sito a cui vorrebbe collegarsi e i dati pri- 
vati in entrata sarebbero i contenuti della pagina 
Web. L'uso di SFE, tuttavia, sarebbe estremamente 
inefficiente. Nel 1981 David Chaum, allora all'Uni- 
versità della California a Berkeley, propose una so- 
luzione più semplice, i canali anonimi, ora nota 
come instradamento a cipolla [onion routing). 

Come suggerisce il nome, Alice struttura il pro- 
prio messaggio in una successione di strati. Ogni 
strato, e ogni elemento al suo interno, viene crip- 
tato da Alice con le differenti chiavi pubbliche 
di diverse persone. Poi Alice aggiunge l'indiriz- 
zo di ciascuna persona all'esterno di ogni strato. 
Un messaggio da Alice a Bruno potrebbe viaggia- 
re così: Alice invia la cipolla a Marco, il quale può 
levarne lo strato più esterno decrittando la cipol- 



la con la propria chiave segreta. All'interno, Marco 
trova una cipolla più piccola e l'indirizzo di Lisa. 
Marco inoltra questa cipolla a Lisa, che può decrit- 
tare con la propria chiave e così via. Alla fine della 
catena Bruno riceve il «cuore» della cipolla e lo de- 
cifra per trovare il messaggio di Alice. 

In pratica gli intermediari sono parte di una re- 
te di computer realizzata per gestire la decrittazio- 
ne e inoltrarla in automatico. Idealmente, ogni in- 
termediario riceve di continuo diverse cipolle e le 
inoltra in ordine sparso. A patto che nella rete ci 
sia traffico sufficiente, un ISP che intercetta senza 
sosta gli intermediari non può conoscere la desti- 
nazione del messaggio di Alice o la provenienza di 
quello di Bruno. 

Lo stesso Bruno non sa chi ha spedito il mes- 
saggio, a meno che Alice non scelga di rivelare la 
propria identità. Ma anche se Alice resta anonima 
Bruno può inviarle una risposta anonima, basta 
che Alice includa una «cipolla di risposta» con gli 
strati di indirizzi e le chiavi pubbliche necessarie 
per instradare un messaggio di risposta. 

I messaggi di Alice e Bruno possono rima- 



LA STORIA 
IN PILLOLE (IV) 

1982:ShafiGoldwasser 
dell'Università della California 
a Berkeley e Silvio Micali del MIT 
sviluppano le definizioni fondamentali 
della moderna crittografia, inclusa 
una definizione pratica di sicurezza. 

1985: Goldwasser, Micali e Charles 
Rackoff, dell'Università di Toronto, 
inventano la dimostrazione 
a conoscenza zero. Un anno dopo 
gli israeliani Oded Goldreich e Avi 
Wigderson, la applicano alla tri- 
colorabilità dei grafi. 

1987: Goldreich, Micali e Wigderson 
elaborano i protocolli per la multiparty 
computation, costruendo un protocollo 
in due parti sviluppato da Andrew C. 
Yao della Princeton University. 



Nascondere le connessioni 



I dati si possono inviare in forma anonima usando un «indù, 

i dati stessi e il percorso che prenderanno sono strutturati in strati di crittazione multipli. 



INVIARE UNA «CIPOLLA» 

Alice prepara il suo messaggio criptandolo con una serie di chiavi pubbliche che producono una cipolla con molti strati di 
crittazione. Oltre a ciò, inserisce le istruzioni di instradamento negli strati. 




Mr* 




... «r 




Poi invia la cipolla a Marco, la cui chiave segreta decifra 
lo strato più esterno della crittazione. AN'«interno», 
Marco trova una cipolla indirizzata a Lisa, alla quale 
inoltra la cipolla. 



La chiave segreta di Lisa rimuove lo strato 
successivo della cipolla, e all'interno Lisa 
trova un altro indirizzo per la cipolla, a cui 
quest'ultima viene inoltrata, e così via. 



Infine, Tommaso scopre il nucleo della cipolla e lo invia 
a Bruno, che lo apre con la sua chiave segreta 
per trovare il messaggio. Nessuno tranne Alice conosce 
il cammino completo della cipolla. 



LA RETE 

Il cammino della «cipolla» di Alice {in viola) lungo la rete di intermediari 
(in blu) è nascosto a occhi indiscreti, a patto che nella rete stia 
transitando una quantità sufficiente di altri dati. 
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LA STORIA 
IN PILLOLE 

1994: La Netscape Communications 
pubblica il protocollo Secure Sockets 
Layer, che impiega la crittazione 
a chiave pubblica per assicurare 
la sicurezza delle transazioni sul World 
Wide Web. 

1994: Arjen K. Lenstra della Bell 
Communications Research e oltre 600 
volontari su Internet, usando circa 
1600 computer, sviluppano algoritmi 
di fattorizzazione impiegando otto 
mesi per fattorizzare la chiave RSA 
a 1 29 cifre di Gardner, rivelando 
il messaggio «THE MAGIC WORDS ARE 
SQUEAMISH OSSIFRAGE», ovvero «Le 
parole magiche sono avvoltoio 
schizzinoso». 

2008: Occorrerebbe più di un milione 
di miliardi di anni per violare 
una chiave RSA di lunghezza 
raccomandata (2048 bit) su un 
moderno PC. 



nere non tracciabili anche se alcuni intermedia- 
ri lasciano trapelare informazioni su quello che 
stanno facendo. Più persone usano questo siste- 
ma, offrendo volontariamente i loro computer co- 
me intermediari, più diventa difficile sapere chi sta 
comunicando e con chi. 

Per quanto riguarda crittazione e firme digitali 
per la posta elettronica, sono disponibili gratis pro- 
grammi per comunicare su canali anonimi o per 
partecipare come intermediario. Per esempio sul si- 
to di The Onion Router Project, www.torproject.org. 

Anonime autorizzazioni 

Supponiamo che Alice abbia sottoscritto un ab- 
bonamento alla rivista on line SophistiCat Ameri- 
can. Si connette alla pubblicazione tramite un ca- 
nale anonimo, entra con ID utente e password e si 
accerta che ogni messaggio in entrata o in uscita 
sia criptato. Ma in questo modo è sicura che nes- 
suno possa venire al corrente di quello che sta fa- 
cendo? Certamente no: la rivista sa esattamente 
che cosa sta facendo Alice. 

Alice potrebbe coprire le proprie tracce usando 
uno pseudonimo, ma le abitudini di lettura dello 
pseudonimo potrebbero presto smascherare la sua 
vera identità. Alice potrebbe rivelare il proprio co- 
dice di avviamento postale per consultare le previ- 
sioni del tempo, inserire la propria data di nascita 
per leggere l'oroscopo e suggerire il sesso di appar- 
tenenza leggendo notizie su specifici argomenti, 
per esempio la mammografia. Queste tre informa- 
zioni - codice postale, data di nascita e sesso - ba- 
stano a identificare l'87 per cento della popolazione 
degli Stati Uniti (si veda l'articolo Informazioni del 
mondo, unitevi!, di Simson L. Garfinkel, a p. 94). 

Il problema di Alice ha una soluzione critto- 
grafica chiamata «autorizzazione anonima». Ali- 
ce può provare di essere un abbonato ogni volta 
che accede alla pagina web della rivista. Ma que- 
sta prova non rivela alcun elemento dell'identi- 
tà dell'abbonato, per esempio non rivela che è la 
stessa persona che ha avuto accesso al sito poco 
tempo prima. Questo protocollo è un caso partico- 
lare del più generale protocollo di dimostrazione a 
conoscenza zero. 

Con la dimostrazione a conoscenza zero, Alice 
convince Bruno che un'affermazione è vera sen- 
za rivelare perché debba esserlo o, in pratica, sen- 
za rivelare alcuna ulteriore informazione. Per pro- 
vare l'affermazione «Sono un utente autorizzato di 
SophistiCat American», la rivista, o un servizio a 
essa collegato, rilascia ad Alice un'unica creden- 
ziale, simile a chiave segreta, all'atto dell'iscrizio- 
ne. In seguito Alice usa la chiave per provare di 
avere una credenziale valida, senza rivelare la cre- 



denziale stessa. E grazie a diverse credenziali Alice 
fornisce una prova a conoscenza zero di afferma- 
zioni più complesse come: «Sono un utente auto- 
rizzato e maggiorenne». 

Un'idea di base su come funziona una prova a 
conoscenza zero è illustrata nel box a fronte, in cui 
Alice prova a Bruno di aver colorato il diagramma 
in un certo modo (tecnicamente, ha «tri-colorato» 
un grafo) senza mostrargli in che modo. Tri-colo- 
rare un grafo è un cosiddetto problema NP-com- 
pleto (si veda l'articolo I limiti del computer quan- 
tistico, di Scott Aaronson, in «Le Scienze» n. 477, 
maggio 2008). Ai fini della nostra discussione, 
quello che importa della NP-completezza è che si 
può considerare qualsiasi affermazione per cui si 
abbia un prova ragionevolmente breve, e mette- 
re insieme una versione del gioco di Alice e Bruno 
per fornire una prova a conoscenza zero. 

Il protocollo della tri-colorabilità dimostra il 
principio secondo cui è possibile fornire prove a 
conoscenza zero, anche se non è una soluzione 
pratica. Per fortuna gli studiosi di crittografia han- 
no sviluppato protocolli per specifici tipi di cre- 
denziali che possono servire per l'autorizzazione 
anonima efficiente. 

Violare i codici 

Quanto è sicura la sicurezza? Quando Alice crip- 
ta un messaggio per Bruno, quanto sarà difficile 
per Eva decifrare il messaggio? E se Eva conosce 
qualcosa può ingannare il sistema? Eva potrebbe 
già conoscere qualche dettaglio del messaggio crip- 
tato, per esempio il nome di un caffè in cui Alice e 
Bruno stanno andando per conoscersi di persona. 
Oppure, se «Bruno» è un server web sicuro, Eva po- 
trebbe inviargli un testo senza senso accuratamen- 
te scelto invece di un testo cifrato e carpire dalle 
sue risposte alcuni indizi sulla sua chiave segreta. 
Una definizione ampiamente accettata di sicurezza 
per la crittazione a chiave pubblica contempla tutti 
questi casi e richiede che Eva sia in grado di acqui- 
sire solo informazioni che risultano poco utili. 

L'analisi della sicurezza dei sistemi crittografici 
è una scienza molto sviluppata. Contrariamente al- 
la percezione comune, non si presume che un si- 
stema sia sicuro semplicemente perché nessuno ha 
mostrato di poterlo violare. Molti «mattoni elemen- 
tari», invece, si basano su problemi matematici stu- 
diati in modo approfondito. I crittografi non pos- 
sono provare con assoluta certezza che un sistema 
crittografico sia inviolabile, ma provano che ogni 
algoritmo in grado di violarlo risponderebbe an- 
che alla questione fondamentale che ha impegnato 
i migliori matematici ed esperti di informatica. 

Alcuni protocolli dipendono solo dall'esistenza 
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Avere le credenziali senza rivelare l'identità 



Un abbonato a un sito Web può firmare come utente legittimo e registrato senza rivelare alcuna informazione utile alla sua identificazione grazie a 
un'autorizzazione anonima. Questo protocollo è un esempio della dimostrazione a conoscenza zero, in cui un soggetto prova un fatto senza rivelare 
nulla riguardo la prova tranne la sua validità. 



Alice e Bruno giocano con un grafo, tre pennarelli e alcuni bicchieri. Il 
grafo è una collezione di vertici connessi da linee. Due vertici connessi 
da una linea sono detti adiacenti. Solo alcuni grafi sono tri-colorabili, 
cioè tre colori sono sufficienti per colorare i vertici senza averne due 
adiacenti con lo stesso colore. Alice proverà a Bruno di aver tri-colorato 
il grafo senza dargli alcun indizio su come ha fatto. 
Il gioco inizia con Bruno fuori dalla stanza. Alice traccia sei copie diverse 
del grafo. Dopo aver tri-colorato la prima copia, completa le altre cinque 
usando le sei permutazioni dei tre colori. Così le sei copie del grafo sono 
tri-colorate in modi differenti. Poi sceglie una delle sei copie in modo 
casuale e copre i vertice con i bicchieri. Bruno rientra, deve scegliere 
due vertici adiacenti e rimuovere i bicchieri che li nascondono. Se i 
vertici sono dello stesso colore Bruno sa che Alice sta mentendo e non 
ha tri-colorato il grafo in modo valido. I due ripetono la procedura: Bruno 





lascia la stanza ogni volta che Alice sceglie a caso una delle sei copie da 
coprire con i bicchieri. Dal punto di vista di Bruno, se Alice lo sta 
ingannando potrebbe mostrargli differenti colorazioni non valide e 
l'identica colorazione di due vertici adiacenti potrebbe non essere nella 
stessa parte su ciascun grafo. Ma se Bruno fa un numero sufficiente di 
tentativi la probabilità di scoprire due vertici uguali si avvicina al 1 00 per 
cento. In ogni caso, alla fine non sa come Alice ha colorato il grafo: per 
ciascuno di essi, i due colori che vede sui vertici scelti sono casuali e 
potrebbero essere stati scelti da lui stesso. 
Per qualsiasi affermazione che abbia una prova ragionevolmente breve 
(«Ho le credenziali che dimostrano che sono un utente autorizzato e 
maggiorenne»), si può elaborare una versione di questo gioco che provi 
l'affermazione senza comunicare altre informazioni («lo sono Alice»). 



di un particolare tipo di funzione matematica. Per 
esempio gli esperti di crittografia sanno come co- 
struire un sistema crittografico a chiave pubblica 
da qualunque funzione trapdoor. Così se qualcuno 
viola le funzioni usate nell'algoritmo RSA le altre 
ancora valide si possono sostituire. 

Solo di rado uno schema è considerato sicuro 
su una base più specifica. Ma questo viene fatto 
solo dopo che centinaia tra i ricercatori più bra- 
vi di tutto il mondo hanno studiato l'algoritmo per 
molti anni. La comunità della crittografia può per- 
mettersi di svolgere questo processo solo per pochi 
elementi fondamentali ritenuti critici. Per quanto 
riguarda i sistemi più complessi, i crittografi ne di- 
mostrano la sicurezza considerando la sicurezza 
dei singoli blocchi con cui sono costruiti. 

I protocolli crittografici possono dare soluzioni 
sorprendentemente versatili a problemi di privacy 
che sembrano insormontabili, come l'autorizzazio- 



ne anonima. Ma molti problemi di privacy esula- 
no dall'ambito della crittografia. Se Alice fosse sot- 
to costante sorveglianza nel mondo fisico, sarebbe 
una magra consolazione sapere che le sue attività 
su Internet sono sicure. Attualmente a Londra le te- 
lecamere sorvegliano gli spazi pubblici per esigenze 
di sicurezza. Forse per proteggere la privacy i pro- 
prietari degli edifici potrebbero gestire direttamente 
i dati delle videocamere puntati sulle loro proprie- 
tà, e il protocollo SFE potrebbe elaborare i dati, per 
esempio per seguire persone sospette che lasciano 
una scena del crimine senza memorizzare le attivi- 
tà di tutti gli altri in una banca dati centralizzata. 

Più in generale, quando la privacy è minacciata 
da un sistema come la sorveglianza pubblica, do- 
vremmo chiederci: quali problemi cerca di risolve- 
re quel sistema? E soprattutto: possiamo risolvere 
quei problemi preservando la nostra privacy grazie 
all'uso della crittografia? ■ 



*+ Letture 

Zero-Knowledge Sudoku. Fortnow L. 
(come dimostrare di avere la soluzione 
di un Sudoku senza rivelare qual è). 
Disponibile alla pagina web http:// 
weblog.fortnow.com/2006/08/zero- 
knowledge-sudoku.html. 

Introduction to Modem Cryptog- 
raphy. Katz J. e Lindell Y, Chapman & 
Hall/CRC, 2007. Il primo capitolo è 
disponibile alla pagina web 
www.cs.umd.edu/~jkatz/imc.html. 

Multiparty Computation Goes Live. 

Bogetoft P. e altri, febbraio 2008. 
Disponibile alla pagina web 
http://eprint.iacr.org/2008/068. 
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TAVOLA ROTONDA 



MIGLIORARE LA SICUREZZA 

INFORMATICA 



Per contrastare gli attacchi sempre più frequenti e sofisticati 
dei criminali, i professionisti della sicurezza informatica ritengono 
necessario perfezionare la tecnologia, senza però trascurare 
gli aspetti legali e il fattore umano del problema 
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«QUID CUSTODIET IPSOS CUSTODES?» 

si chiedevano gli antichi Romani: «Chi sorveglierà 
i sorveglianti?». Oggi i professionisti della sicurez- 
za informatica e della tutela di dati (i cosiddetti se- 
curity vendor) sono controllati dai loro concorren- 
ti, dai clienti, dagli hacker e, sempre più spesso, dai 
governi, preoccupati per la sicurezza nazionale. A 
maggio John Rennie, direttore di «Scientific Ame- 
rican», si è riunito a Palo Alto, in California, con 
rappresentanti del settore e di alcune aziende che 
si affidano ai loro prodotti per discutere di proble- 
mi ancora irrisolti. 

La redazione 

Chi è responsabile? 

I partecipanti alla tavola rotonda hanno individuato 
una serie di priorità nell'ambito della protezione dei 
dati informatici, legate non solo alla tecnologia, ma 
anche allo sviluppo di adeguate norme legislative. 

DIFFIE: Nei prossimi dieci anni questo settore 
risentirà soprattutto dell'influenza dei servizi web 
e di quello che io definisco digitai outsourcing. 
Stiamo per entrare in un mondo in cui ci saranno 
numerosi servizi informatici che altri saranno in 
grado di svolgere per noi e molto meglio di noi. 
Tra dieci anni ci guarderemo intorno e scoprire- 
mo che l'attuale concetto di secure computing sarà 
superato. Servirà dunque un'adeguata legislazione 
che obblighi i fornitori di questi servizi a garantire 
la sicurezza delle informazioni. Quest'obbligo po- 



trà tuttavia essere osservato soltanto a condizione 
che vengano realizzate tecnologie adeguate. 

GILLILAND: Sì, ma in realtà i clienti stanno già 
cercando di potenziare le tecnologie che si sono di- 
mostrate inadeguate alle loro necessità. Oggi il ve- 
ro problema è: come possiamo rendere funzionali 
queste tecnologie, in modo che i clienti possano 
gestire le proprie questioni di privacy, proteggere i 
processi di auditing, e tutelare i propri dati secon- 
do gli standard attuali, cosa che in larga parte non 
stanno ancora facendo? 

LIPNER: Per i clienti commerciali, vale il discor- 
so di Diffie e Gilliland: vogliono sapere che cosa 
accadrà ai loro dati, a quali restrizioni sono sog- 
getti, e così via. Per i privati è necessario creare 
invece un ambiente di cui si fidino e che funzio- 
ni, perché gran parte della crescita della rete e dei 
commerci via Internet è basata sulla fiducia del 
consumatore. Dobbiamo far crescere questa fidu- 
cia e dimostrare che è ben risposta. 

GILLILAND: Dobbiamo impegnarci a trovare un 
punto di equilibrio. Come si può permettere alle 
aziende di continuare a condividere le informazio- 
ni il più velocemente possibile, in modo che pos- 
sano prendere buone decisioni, e allo stesso tempo 
semplificare questa condivisione? 

I pericoli della variabile umana 

Gli stessi utenti possono essere il tallone d'Achille 
dei sistemi di sicurezza, a causa delle loro propen- 
sione all'errore e la loro tendenza (per quanto invo- 
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lontana) a sacrificare la sicurezza in favore di una 
maggiore semplicità di impiego degli strumenti in- 
formatici. In questo caso è la tecnologia che deve 
compensare le potenziali mancanze degli utenti. 

HEIM: Non dobbiamo sottovalutare l'elemento 
umano. Proviamo a fare un parallelo con le au- 
tomobili: la ragione per cui esistono strumenti 
di controllo oggettivo come la patente di guida è 
la necessità di verificare che tutti abbiano alme- 
no una conoscenza di base delle norme stradali e 
della sicurezza al volante, in modo da ridurre il 
rischio di incidente. In ambito informatico non 
mi sembra che si compiano altrettanti sforzi per 
insegnare agli utenti come usare i loro computer 
in piena sicurezza. Non sto dicendo che debba ne- 
cessariamente esistere una «patente di guida in- 
formatica», ma certo non sarebbe una cattiva idea, 
perché è evidente che molti, moltissimi problemi 
attualmente riscontrati sono riconducibili a com- 
portamenti sbagliati. 

DIFFIE: Questa in realtà sarebbe un'idea terri- 
bile, mostruosa. Il mondo virtuale della rete è il 
mondo del futuro. Non si vive in una società libera 
se non si ha diritto di accesso al mondo virtuale. 

ABHYANKAR: L'elemento umano non si può 
ignorare. Abbiamo appena celebrato il trentesimo 
anniversario dello spamming. La posta elettronica 
continua a esserne vittima. La tecnologia ha il suo 
lato oscuro, e la rapidità di innovazione e le tecni- 
che di ingegneria sociale a disposizione dei «catti- 
vi» per sottrarre dati informatici superano di gran 
lunga quelle a disposizione dei «buoni». La tecno- 
logia non può risolvere da sola questo problema. 

GILLILAND: Secondo le ricerche che abbiamo 
commissionato, circa il 98 per cento delle perdite 
di dati è riconducibile a errori umani e guasti. Ope- 
rando nel settore della sicurezza informatica, siamo 
costantemente impegnati a combattere questi «cat- 
tivi», che in realtà non sono i principali responsabi- 
li della perdita di dati. Ci sarà sempre qualcuno che 
cercherà di guadagnare sottraendo informazioni 
importanti ad altri, e non si riuscirà mai a debellare 
il problema al 100 per cento. Possiamo invece pro- 
vare a eliminare quell'ampia percentuale dovuta 
agli errori degli utenti e ai guasti. 

HEIM: La realtà quotidiana dimostra che spesso, 
quando la tecnologia non riesce ad anticipare le 
necessità di chi ne fa uso, gli utenti si ingegnano a 
risolvere le proprie incombenze usando tecnologie 
di cui dispongono. 

SHERSTOBITOFF: È vero. Non possiamo pro- 
teggere le vostre informazioni finché continuate a 
inoltrarle al vostro indirizzo di Gmail per lavorare 
da casa. 
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HEIM: Certo, e lo stesso vale se usate una porta 
d'accesso wireless o se salvate dati su un supporto 
USB. Ci sono sfide tecnologiche, ma ci sono anche 
sfide di natura economica. Come si può migliorare 
la tecnologia informatica? Come si può aumentar- 
ne la sicurezza e contemporaneamente consentire 
agli utenti di svolgere le proprie operazioni senza 
aggirare il problema? 

DIFFIE: In breve, la mancanza di funzioni uti- 
li per l'utente si trasforma spesso in un problema 
di sicurezza. Se il sistema non ti consente di fare 
quello che vuoi in modo sicuro, troverai comun- 
que un modo per farlo. 

Le dinamiche 

della pirateria moderna 

La piraterìa informatica non è più appannaggio di 
programmatori curiosi o annoiati. La produzione 
di software dannosi è ormai un 'attività lucrativa, e 
questo elemento cambia profondamente il contesto 
della sfida. 

ABHYANKAR: Il modello economico della pira- 
teria informatica è ormai talmente radicato che se 
venisse legittimato e voi foste capitalisti scriteria- 
ti disposti a investirci potrebbe garantirvi ottimi 
guadagni. L'invio di e-mail fraudolente costa sem- 
pre meno. E l'anonimato nella rete rende sempre 
più difficile rintracciare i responsabili per perse- 
guirli legalmente. 

SHERSTOBITOFF: La maggior parte dell'attività 
non è condotta dai criminali stessi, ma da inter- 
mediari. Quando si conducono le indagini si rie- 
sce a risalire soltanto a singoli individui - i mule 
- ignari di essere diventati a loro volta vittime di 
questo sistema. Da questa stessa dinamica dipende 
anche il vertiginoso aumento di pagine web del 
tipo: «C'è un ottimo lavoro per te! Guadagna 1000 
dollari a settimana!». Gli investigatori non posso- 
no risalire al criminale che ha creato il programma 
con cui controlla i mule: i responsabili si dilegua- 
no molto prima di essere scoperti. In genere gli 
attacchi non sono condotti dai pirati informatici, 
che preferiscono piuttosto vendere le loro creazio- 
ni. C'è un'economia sotterranea, i cui proventi si 
basano semplicemente su questi prodotti. Basta 
acquistarne uno a 1200 dollari per diventare un 
criminale informatico. 

SADLER: Quindi, appurato che i nostri avver- 
sari sono diventati molto abili, quanto dovremmo 
collaborare tra noi per combatterli? In fondo, 
siamo ancora tutti in competizione. Siamo di- 
visi, mentre loro collaborano e commerciano 
i propri prodotti tra loro. Noi non siamo al- 
trettanto coordinati. 
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«In Internet 
funziona così: 
ci aggiriamo 
con i nostri 
risparmi 
nel quartiere 
più pericoloso 
di tutti, e poi ci 
sorprendiamo 
se veniamo 
derubati» 

Martin Sadler 




SHERSTOBITOFF: Ecco perché sono favorevole 
a un approccio che esuli dal discorso delle vendi- 
te. Per eludere questa minaccia non serve soltanto 
un'evoluzione tecnologica ma anche una reazione 
congiunta, in cui i laboratori di ricerca si impegni- 
no a condividere le proprie scoperte. Già ora, in 
realtà, non tutti i software dannosi che arrivano 
nei nostri laboratori provengono dai clienti. Alcu- 
ni ci sono forniti dai concorrenti. Non siamo pro- 
prio acerrimi rivali: abbiamo un problema comune 
e cerchiamo di risolverlo. 

Più formazione o più tecnologia? 

A sorpresa, dal dibattito tra i partecipanti alla 
tavola rotonda è emerso che la formazione degli 
utenti può portare pochi miglioramenti in materia 
di sicurezza informatica: la natura delle minacce 
cambia troppo rapidamente. 

LIPNER: Dobbiamo farci carico della formazio- 
ne degli utenti finali e impegnarci affinché la tec- 
nologia favorisca la sicurezza, senza però appe- 
santire le operazioni con continui avvisi e pop-up, 
altrimenti sarebbe controproducente. La realizza- 
zione di sistemi sicuri dipende molto dall'espe- 
rienza degli utenti, anche se, secondo me, questo 
tema è ampiamente trascurato dal settore della si- 
curezza informatica. 

SADLER: Credo che la formazione degli utenti 
sia irrilevante: nell'arco di sei mesi tutti i consigli, 
a eccezione di quelli di carattere più generale, ri- 
sultano obsoleti. I programmi con scopi educativi 
attualmente disponibili danno per lo più indicazio- 
ni a breve, brevissimo termine. Del tipo: «scaricate 
gli antivirus più aggiornati», o cose del genere. 

HEIM: Se tutti conoscessero anche solo le con- 
seguenze dell'installazione gratuita di un semplice 
salvaschermo animato - in pratica, il messaggio 
è: «Garantisco a chi ha realizzato questa applica- 
zione libero accesso al mio sistema e a tutti i miei 
dati» - credo che l'atteggiamento verso la rete sa- 
rebbe diverso. 

SADLER: Secondo me però ci deve essere una 
soluzione. Tutti insegniamo ai nostri figli quali 
quartieri devono evitare e quali invece possono 
frequentare. «Questa zona è sicura. Questa no». In 
Internet invece funziona così: ci aggiriamo con i 
nostri risparmi nel quartiere più pericoloso di tutti, 
e poi ci sorprendiamo se veniamo derubati. Ci de- 
vono essere livelli diversi di rischio. Tutti devono 
poter scaricare l'ultimo salvaschermo, senza met- 
tere a repentaglio il proprio conto in banca. 

HEIM: Nelle infrastrutture più grandi, inve- ~§ 
ce, bisogna essere in grado di colmare even- f 
tuali lacune mantenendo al contempo la sta- 8 
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bilità del sistema. Aggiornare i sistemi di sicurezza 
non significa necessariamente escludere qualsiasi 
tipo di rischio di far collassare il sistema! 

GILLILAND: Io sono d'accordo con Diffie: non 
si devono creare licenze statali, corrispettive delle 
patenti di guida, per poter accedere a Internet. Tut- 
tavia, perché non dovremmo fornire una forma- 
zione di base agli utenti quando vengono assunti 
in azienda? «Questo è il tuo computer, questo è il 
tuo PDA. Ora ti insegno le norme per la sicurezza 
da seguire in Symantec». 

SADLER: Ma per quanto tempo rimarrebbero 
validi questi principi? 

GILLILAND: Un principio può conservare la sua 
validità anche per molto tempo. 

DIFFIE: Dipende dal principio. 

GILLILAND: «Non aprire e-mail o allegati inviati 
da persone che non conosci» 

DIFFIE: È una regola senza speranze. 

LIPNER: L'unico modo per risolvere la questione 
è basarsi su sicurezza e autenticazione. In questo 
modo si lascia agli utenti piena libertà di scelta, a 
condizione che sappiano distinguere quello che è 
sicuro da quello che non lo è, che si tratti di alle- 
gati o di file eseguibili. Non si può dire a un uten- 
te: «Leggi il codice oppure interpreta le finestre di 
dialogo SSL», è troppo diffìcile. È meglio fornire 
direttamente un'infrastruttura autenticata che gli 
consenta di stabilire con chi ha a che fare. 

GILLILAND: Un utente privo di adeguata for- 
mazione è spesso disposto ad aggirare la que- 
stione della sicurezza. Possono comparire anche 
allarmanti finestre di dialogo del tipo: «Attenzio- 
ne questo sito sembra pericoloso». Ma se il sito 
dice «Clicca qui per vedere Britney Spears nuda», 
l'utente cliccherà comunque. L'ingegneria sociale è 
il modo migliore per disseminare virus. Sempre. 

LANDWEHR: Non c'è un altro approccio al pro- 
blema? Invece di concentrarci sulla formazione 
degli utenti, su che cosa è o non è dannoso, po- 
tremmo cambiare le regole del gioco per i pirati in- 
formatici: diventare più bravi a proteggere i nostri 
dati, in modo che i criminali perdano interesse ad 
attaccare i nostri computer. A quel punto, se anche 
alcuni file vengono sottratti da un disco, sono co- 
munque criptati. Se qualcuno spedisce accidental- 
mente un'e-mail, i dati sono criptati. Se qualcuno 
si impossessa di un'informazione, non ha i codici 
per accedervi. 

SHERSTOBITOFF: Sono d'accordo. In ambito fi- 
nanziario si stanno diffondendo le autenticazioni 
fuori banda, ovvero autenticazioni che avvengono 
mediante due sistemi indipendenti, come un com- 
puter in rete e un telefono cellulare. Alcuni grandi 
investitori stanno iniziando ad adottare diversi di- 
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spositivi di autenticazione: smart key, token RSA. 
Altri, sempre nel mondo della finanza, applicano 
sistemi di rilevamento di anomalie nei back end, 
per individuare pattern sospetti. A loro volta, le 
istituzioni finanziare hanno iniziato ad adeguare 
le proprie tecnologie e i meccanismi di autentica- 
zione per tenere lontani i pirati informatici. 

LANDWEHR: Le smart card prendono sempre 
più piede. Io ne ho con me una identificativa, che 
uso per entrare nelle nostre sedi in tutto il mondo. 
In più è dotata di certificato PKI che mi consente 
di accedere ad applicazioni private, criptare docu- 
menti commerciali e apporre la firma digitale ai 
moduli PDF. È protetta da un codice PIN, come le 
tessere che si usano per i Bancomat. Se qualcuno 
me la ruba, può provare un paio di volte a indovi- 
nare il mio codice PIN, ma poi la smart card smette 
di funzionare. 

Lo scenario internazionale 

I vari governi affrontano il tema della tutela dei 
dati e della privacy in modi differenti. A detta di 
molti, la reazione degli Stati Uniti alV aumento del- 
le minacce informatiche tarda ad arrivare. 

SADLER: Credo che Francia, Germania e Regno 
Unito si stiano impegnando molto di più nella 
sensibilizzazione delle piccole aziende rispetto 
agli Stati Uniti. Quindi, a dispetto del mio scet- 
ticismo nei confronti della formazione, credo che 
gli Stati Uniti debbano adottare alcune misure di 
base per le piccole aziende. Inoltre in Europa, so- 
prattutto nel Regno Unito e in Germania, c'è mol- 
ta più collaborazione tra il mondo accademico, gli 
esperti del governo e i professionisti. Mi sembra 
che negli Stati Uniti non ci sia abbastanza dialogo 
tra queste parti. 

SHERSTOBITOFF: In Europa stanno nascendo 
diversi gruppi di lavoro istituzionali che hanno co- 
me unico scopo la lotta al crimine informatico. Lì 
non esitano a prendere l'iniziativa. Invece, stando 
a quanto dice l'FBI, gli Stati Uniti sono ancora in- 
dietro in questo approccio. 

LIPNER: Poiché ci sono condizioni d'uso e fi- 
nalità diverse per l'Europa e gli Stati Uniti, sarà 
necessario stabilire ulteriori standard. Secondo me 
dovrebbero avere una valenza internazionale. 

GILLILAND: Certo in Europa esistono infinite 
norme differenti sulla privacy. Le aziende stanno 
cercando di adottare provvedimenti e politiche che 
consentano loro di rispettare il maggior numero di 
regole. Questo è un tema che negli Stati Uniti non 
abbiamo approfondito molto. Come fanno i pri- 
vati e le aziende a dimostrare il proprio impegno 
nell'adeguamento alle norme sulla privacy? ■ 



«Potremmo 
cambiare le 
regole del gioco, 
in modo che i 
pirati informatici 
perdano 
interesse ad 
attaccare i nostri 
computer» 

John Landwehr 
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LA PRIVACY AL TEMPO DI 

INTERNET 



Sempre più persone, specialmente tra i giovani, condividono i dettagli più 
intimi della loro vita personale sui siti web di socializzazione: un fenomeno 
che fa presagire una radicale revisione dei limiti tra pubblico e privato 



di Daniel J. Solove 



Un nome vero ce l'ha, ma ai più è noto co- 
me Star Wars Kid, «il ragazzino di Guerre 
Stellari». Lo conoscono decine di milioni 
di persone in tutto il mondo. Peccato che la sua fa- 
ma scaturisca da uno dei momenti più imbaraz- 
zanti della sua vita. 

Nel 2002, quando aveva 15 anni, lo Star Wars 
Kid videoregistrò se stesso mentre brandiva un tu- 
bo per raccogliere palline da golf fingendo che fos- 
se una spada laser. Privo dell'aiuto degli esperti co- 
reografi che lavorano nei film della saga di Guerre 
Stellari, nel video i suoi movimenti erano sgrazia- 
ti e ridicoli. Il filmato finì nelle mani di alcuni bui- 
letti, che lo caricarono su un sito Internet. Diventò 
subito famoso e raccolse una moltitudine di fan. In 
tutta la blogosfera, la gente cominciò a deriderlo, 
definendolo grassoccio, goffo e sfigato. 

Furono realizzati diversi remake del video del- 
lo Star Wars Kid, con tanto di effetti speciali. Alcu- 
ni lo ritoccarono facendo scintillare il tubo come 
una spada laser o aggiungendoci la colonna sono- 
ra di Guerre Stellari Altri lo mescolarono a spez- 
zoni di altri film, finché i remake si contarono a 
dozzine. Lo Star Wars Kid comparve in un video- 
gioco, e su spettacoli televisivi come Family Guy e 
South Park. Essere scherniti dai compagni di scuo- 
la è già un problema, ma immaginate che cosa si 
può provare a essere presi in giro da gente di tutto 
il mondo. Il ragazzo abbandonò la scuola, e dovet- 
te rivolgersi a uno psicologo. 
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Quello che è accaduto a Star Wars Kid può suc- 
cedere a chiunque, e può avvenire in un istante. 
Oggi raccogliere informazioni personali è diventa- 
ta una seconda natura. Sempre più persone hanno 
cellulari con fotocamera, registratori digitali, web- 
cam e altri dispositivi di registrazione con cui cat- 
turare facilmente i dettagli della loro vita. E, per la 
prima volta nella storia, chiunque può distribuire 
informazioni in tutto il mondo. Non c'è bisogno di 
essere tanto famosi da essere intervistati dai media 
tradizionali. Con Internet chiunque può raggiun- 
gere un pubblico globale. 

La tecnologia ha aperto un divario tra le gene- 
razioni. Da un lato ci sono giovani e giovanissi- 
mi, le cui vite ruotano intorno ai siti di socializ- 
zazione e ai blog. Dall'altro ci sono i loro genitori, 
la cui memoria del passato spesso è ancora affida- 
ta a ricordi sbiaditi o, al massimo, a libri, fotogra- 
fie e video. Per la generazione attuale, il passato si 
conserva su Internet, potenzialmente per sempre. E 
questo cambiamento solleva la questione di quan- 
ta privacy ci si possa aspettare, o persino desidera- 
re, in un'epoca di contatti on line onnipresenti. 

Generazione Google 

Il numero di giovani iscritti a siti di social net- 
working come Facebook e MySpace è impressio- 
nante. Nella maggioranza dei campus univer- 
sitari degli Stati Uniti oltre il 90 per cento degli 
studenti ha un proprio sito. Io definisco le perso- 
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I siti web di socializzazione 
permettono la diffusione di 
pettegolezzi banali a un 
pubblico di proporzioni 
mondiali, rendendo a volte 
una persona vittima di voci 
incontrollate in tutta la 
portata del cyberspazio. 

La condivisione pubblica 
della vita privata ha portato 
a un ripensamento delle 
nostre attuali concezioni 
della privacy. 

La legge attualmente 
adottata negli Stati Uniti 
dovrebbe essere estesa per 
fornire una tutela della 
privacy rispetto a ciò che la 
gente dice e fa, in quello 
che in precedenza sarebbe 
stato considerato il pubblico 
dominio. 



LE SCIENZE 113 



FATTI & CIFRE 

A marzo 2008 la media dei 
video inviati aYouTube è stata 
di oltre 200.000 al giorno. 

Con più di 100 milioni di 

utenti attivi, Facebookè il 
quarto sito web del mondo 
in termini di traffico e il primo 
tra quelli di social networking. 

Secondo dati 2008, i blog attivi 
sarebbero 184 milioni. 

ii 50 per cento dei blog 

è curato da utenti tra i 1 8 

e i 34 anni di età. 



ne che stanno crescendo oggi «Generazione Goo- 
gle». Frammenti delle loro informazioni persona- 
li rimarranno per sempre su Internet, accessibili a 
questa e alle future generazioni con una semplice 
ricerca su Google. 

Questa trasparenza comporta vantaggi e svan- 
taggi. Oggi è possibile diffondere ovunque le pro- 
prie idee senza passare attraverso editori, televisio- 
ni o altri tradizionali gestori dei media. Ma è una 
trasformazione che crea anche profonde minacce 
alla privacy e alla reputazione. È improbabile che 
il «New York Times» si interessi agli ultimi pette- 
golezzi di un liceo di provincia, ma a chi comu- 
nica on line potrebbero interessare un sacco. Sto- 
rielle, chiacchiere e voci su amici, nemici, parenti, 
capi, e colleghi sono materiale di prima qualità per 
i post su Internet. 

Prima di Internet, i pettegolezzi si diffondeva- 
no a voce, e restavano confinati all'interno di una 



determinata comunità o cerchia sociale. I dettagli 
privati erano affidati ai diari, chiusi a chiave in un 
cassetto della scrivania. La socializzazione in rete 
generata da Internet consente a comunità di ogni 
parte del mondo di ritornare alla struttura compat- 
ta della società preindustriale, in cui ciascun mem- 
bro di una tribù o di un villaggio sapeva tutto sui 
propri vicini. Solo che ora i «compaesani» sono 
sparsi per tutto il pianeta. 

Gli studenti hanno cominciato a condivide- 
re particolari osceni sui propri compagni. Un sito 
web chiamato JuicyCampus fa da bacheca elettro- 
nica su cui gli studenti di tutti gli Stati Uniti pos- 
sono inviare in modo anonimo e senza verifiche 
sordide storielle di sesso, droga e alcolismo. Un 
altro sito, Don'tDate Him Girl (Non uscite con lui, 
ragazze), invita le donne a inviare avvertimenti 
sugli uomini con cui sono uscite, indicandoli con 
nome, cognome e fotografia. 



Pettegolezzi globalizzati 



Nessun dettaglio è troppo intimo per i siti web dedicati a diffondere storie salaci di peccati e peccatucci nella vita dei campus universitari. 
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Internet non dimentica. 




Un video pubblicato su YouTube può scatenare un'ondata di ridicolo su scala globale. 
Tempo fa un giovanotto fece domanda per un impiego presso un'azienda finanziaria degli 
Stati Uniti e allegò un video al suo curriculum. Intitolato Niente è impossibile, il filmato 
mostrava il candidato impegnato in una serie di prodezze fisiche, da sollevare un 
manubrio da 225 chili a eseguire un salto con gli sci fino a spezzare una pila di mattoni 
con un solo colpo di karaté. Per tutto il video lo studente si vantava delle sue prestazioni 
sportive e del suo successo nella vita in generale. 

Inutile dire che il filmato non era particolarmente appropriato per il lavoro per cui aveva 
presentato la sua candidatura, e la sua arroganza era tale che il video risultava piuttosto 
comico. In qualche modo, un dipendente della finanziaria diffuse all'esterno il filmato, che 
finì per apparire on line, dove riscosse un successo immediato, con centinaia di migliaia di 
«spettatori». Lo studente è stato sbeffeggiato e parodiato in ogni angolo di Internet e le 
sue prospettive professionali si sono notevolmente ridotte. Benché abbia senz'altro 
commesso uno sbaglio e probabilmente abbia imparato la lezione, ora le sue millanterie 
giovanili e i suoi errori di valutazione sono conservati per sempre nel cyberspazio. 



I siti di socializzazione e i blog non sono la so- 
la minaccia alla privacy. Come è spiegato in di- 
versi articoli di questo numero di «Le Scienze», le 
aziende non perdono un'occasione per raccoglie- 
re e usare i nostri dati personali. La società che ge- 
stisce la vostra carta di credito ha la registrazione 
di tutti i vostri acquisti. Se comprate on line, i ven- 
ditori tengono nota di ciascun articolo che avete 
comprato. Il vostro provider Internet sa quali siti 
visitate e le reti televisive a cui siete abbonati quali 
programmi guardate di solito. 

Anche lo Stato minaccia la privacy, raccoglien- 
do immensi database in cui fare ricerche di poten- 
ziali comportamenti sospetti. La National Securi- 
ty Agency ascolta ed esamina le registrazioni di 
milioni di conversazioni telefoniche. Altre agen- 
zie analizzano le transazioni finanziarie. Miglia- 
ia di enti hanno archivi di informazioni personali, 
che registrano nascite, matrimoni, impieghi, pro- 
prietà immobiliari e altro, e sono spesso conserva- 
te in archivi pubblici, facilmente consultabili da 
chiunque. 

Il passato incancellabile 

L'esposizione pubblica generalizzata di dati per- 
sonali riduce la capacità di difendere la propria re- 
putazione controllando l'immagine che è presenta- 
ta agli altri. La reputazione ha un ruolo importante 
nella società, e proteggere i dettagli della vita pri- 
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vata è essenziale per tutelarla. Noi valutiamo la re- 
putazione delle persone per decidere se fare ami- 
cizia, andare a un appuntamento, assumere un 
nuovo dipendente o stringere un accordo d'affari. 

Si può sostenere che il declino della privacy po- 
trebbe far sì che le persone siano meno inibite e 
più sincere. Ma non è detto che rendere pubbliche 
le trasgressioni di tutti renda meno severo il giudi- 
zio reciproco. Avere a disposizione le vostre infor- 
mazioni personali può non migliorare il mio giudi- 
zio su di voi; anzi, aumenta la probabilità che io vi 
condanni frettolosamente. Per di più la perdita del- 
la privacy può inibire la libertà. L'elevata visibilità 
della vita in un mondo on line trasparente potreb- 
be inchiodare le persone agli errori del passato. 

La gente vuole avere l'opportunità di «ricomin- 
ciare», di reinventare se stessa nel corso della vita. 
Come disse una volta il filosofo John Dewey, una 
persona non è «qualcosa di completo, perfetto, [o] 
finito», bensì «qualcosa in movimento, in cambia- 
mento, distinta, e soprattutto, di iniziale piuttosto 
che finale». In passato esperimenti e sciocchezze 
giovanili a un certo punto finivano nel dimentica- 
toio, dandoci l'opportunità di ricominciare da ca- 
po, di cambiare e crescere. Ma con una tale mas- 
sa di informazioni in rete, è più difficile cancellare 
quegli episodi. Ora siamo costretti a convivere con 
il bagaglio digitale del nostro passato. 

Questa esposizione pubblica significa che le op- 
portunità dei giovani della Generazione Google 
potrebbero essere limitate da qualcosa che hanno 
fatto anni prima, quando erano adolescenti ribel- 
li. I loro segreti più intimi potrebbero essere rive- 
lati da altre persone che conoscono. O potrebbero 
divenire vittime inconsapevoli di falsi pettegolezzi. 
Che ci piaccia o meno, molte persone stanno co- 
minciando ad abituarsi all'idea di avere molti dei 
loro dati personali on line. 

Segreti e pubblicità 

Possiamo prevenire un futuro in cui un nume- 
ro così alto di informazioni personali e private cir- 
cola al di là del controllo degli interessati? Alcuni 
esperti di tecnologia e di diritto rispondono secca- 
mente di no. La privacy, sostengono, non è com- 
patibile con un mondo in cui l'informazione scor- 
re così liberamente. Come dichiarò una volta Scott 
McNealy, della Sun Microsystems: «La vostra pri- 
vacy è già pari a zero. Fatevene una ragione». 
Un'infinità di libri e articoli hanno salutato la «fi- 
ne», la «morte» e la «distruzione» della privacy. 

Questi proclami sono a dir poco sbagliati. È an- 
cora possibile proteggere la privacy, ma per far- 
lo occorre riformulare le visioni ormai superate del 
concetto. Secondo una di esse, la privacy richie- 
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tòme un castello di carte: prove di insicurezza on In 



/ Herbert Thompson 



Mi occupo da sempre di sicurezza 
informatica, e tempo fa ho deciso di 
tentare un esperimento per capire quanto sono 
vulnerabili i nostri dati personali su Internet. Ho 
chiesto ad alcune persone che conoscevo 
superficialmente se, con il loro permesso e sotto 
la loro supervisione, mi avrebbero lasciato 
violare i loro conti correnti on line. Dopo un po' 
di esitazioni, qualcuno ha accettato. L'obiettivo 
era semplice: entrare nei loro conti usando le 
informazioni su di loro, i loro hobby, le loro 
famiglie e le loro vite che erano liberamente 
accessibili su Internet. Non si trattava di 
violazioni criminali o di sfruttare dei bug, ma di 
scandagliare il Web a caccia di dati personali. 
Ecco uno di questi esperimenti. Lo rendo 
pubblico perché presenta alcuni dei problemi 
più comuni ed esemplifica una vulnerabilità 
piuttosto grave di cui siamo tutti vittima in rete. 

IL CASO: Chiamerò il soggetto «Kim». Si tratta di 
un'amica di mia moglie, quindi sapevo 
già il suo nome, dove era nata, dove 
lavorava e grosso modo quanti anni 
aveva. Lei mi ha detto anche quale 
banca usava (ma ci sono modi 
semplici per scoprirlo) e qual era il suo 
nome utente (assolutamente 
prevedibile: l'iniziale del nome e il 
cognome completo). Avrei dovuto 
ottenere l'accesso al suo conto 
corrente partendo da queste sole 
informazioni. 

Fase 1: Ricognizione. Usando il suo nome e il 
luogo in cui lavora, una rapida ricerca 
su Google mi ha fatto trovare due cose: 
un blog e un vecchio curriculum. Il suo 
blog era una miniera d'oro: notizie sui 
nonni, gli animali da compagnia, la città 
natale, eccetera (benché alla fine non 
mi sia servito quasi nulla di tutto ciò). 
Dal curriculum ho preso il suo indirizzo 
e-mail di quando era al college e dal 
blog quello privato attuale, su G-mail. 

Fase 2: Servizio di recupero password della 
banca. Il passo successivo è stato 
provare il servizio di recupero password 
della sua banca [si tratta del servizio 
che permette di avere una nuova 




password se si è dimenticata la vecchia, 
N.d.R.]. Il sito non faceva domande di 
controllo, ma mandava un messaggio 
e-mail di istruzioni. Pessima cosa, 
perché non avevo accesso alla casella 
di posta elettronica di Kim, che quindi è 
diventata il mio nuovo obiettivo. 

Fase 3: Casella su G-mail. Ho cercato di 
recuperare la password di Kim su 
G-mail, indovinando alla cieca che la 
banca avrebbe inviato lì il suo 
messaggio. Ma Google [G-mail è il 
servizio di posta elettronica di Google, 
N.d.R.] ha spedito il messaggio alla sua 
vecchia casella e-mail del college 
(indicando però a quale dominio lo 
invia). Così adesso dovevo ottenere 
l'accesso a quella... uffa. 

Fase 4: Casella e-mail del college. Dopo 

aver cliccato sul link «ho dimenticato la 
password» del sito del college, mi sono 
state poste alcune domande: indirizzo? 
(ce l'avevo: era sul vecchio curriculum); 
codice postale? (come sopra); luogo di 
nascita? (eh? ah sì: era sempre nel 
curriculum); data di nascita? 
(disperazione: quella non ce l'avevo). 
Era arrivato il momento di diventare 
creativi. 





Fase 5: Archivi pubblici. Sperando che Kim 
avesse preso almeno una multa per 
eccesso di velocità, sono andato nei siti 
web dove sono registrate le infrazioni 
stradali, perché in molti Stati è possibile 
effettuare ricerche per tipo di infrazione 
e nome della persona multata, e tra i 
vari dati disponibili c'è anche la data di 
nascita. Giravo senza fortuna in quegli 



o 
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archivi da una mezz'ora, quando mi 
sono reso conto che c'era una strada 
più semplice. 

Fase 6: Il blog: In un raro sprazzo di lucidità, ho 
semplicemente cercato «compleanno» 
nel suo blog. Kim ne faceva accenno in 
un messaggio da cui ho ricavato il 
giorno e il mese: ma non l'anno. 



Fase 7: Fine dei giochi, ovvero: come far 
crollare un castello di carte. 

Sono tornato alla pagina di recupero 
password del college e ho digitato la 
data di nascita, tirando a indovinare 
l'anno. Che era sbagliato, ma, 
incredibilmente, il sito dell'università mi 
ha dato cinque possibilità di ritentare, e 
mi ha perfino detto in quale campo del 
modulo c'era l'informazione errata! 
A questo punto ho cambiato la 
password di Kim per la casella e-mail 
del college, dove ho trovato il 
messaggio con le istruzioni per la 
password su G-mail. Google mi ha 
chiesto informazioni personali che ho 
trovato con facilità sul blog di Kim 
(secondo nome del padre, luogo di 
nascita eccetera). Ho cambiato la 
password di G-mail, il che mi ha 
permesso di accedere al messaggio 
della banca, la quale mi ha chiesto altre 
informazioni personali (nome del gatto, 
numero telefonico e così via), anche 
quelle recuperabili dal blog. Impostata 
la nuova password, ho avuto accesso al 
denaro di Kim (o avrei potuto averlo). 

Inutile a dirsi, Kim era molto turbata. La sua 
intera identità digitale era precariamente posata 
sulle fondamenta della sua casella di posta 



elettronica del college: una volta entrati in 
quella, il resto delle difese cadeva come una fila 
di tessere del domino. 

L'aspetto importante del caso di Kim è quanto 
sia comune. L'abbondanza di informazioni 
personali che mettiamo in rete, combinata con 
la diffusa abitudine di inviare una e-mail per 
recuperare una password dimenticata, fa sì che 
per molti di noi la sicurezza on line si poggi sulle 
spalle di uno o due indirizzi e-mail. Nel caso di 
Kim, alcune delle informazioni venivano da un 
blog, ma potevano facilmente trovarsi in una 
pagina di Facebook, nel blog di un suo familiare 
e in molti altri luoghi del cyberspazio. 

Per aggirare questi rischi sono necessarie scelte 
più prudenti su come dimostriamo la nostra 
identità on line e su ciò che scriviamo su 
Internet. Provate anche voi. Cercate di 
reimpostare una password, e guardate che cosa 
vi chiedono per verificare la vostra identità. 
Alcune domande sono peggio di altre. La data di 
nascita, per esempio, non va: ci sono moltissimi 
archivi pubblici accessibili on line da cui si può 
ricostruirla. In gran parte dei casi, quando aprite 
un account vi viene offerta la possibilità di 
scegliere la domanda per reimpostare la 
password. Preferite argomenti un po' oscuri, 
come il vostro numero del programma fedeltà di 
una compagnia aerea, evitando soggetti facili da 
indovinare, come la città in cui siete nati. 

È fondamentale anche ricordare che una volta 
pubblicato qualcosa on line, dopo è quasi 
impossibile cancellarlo. Più dettagli personali 
scrivete nel vostro blog o nel vostro servizio di 
social networking, più informazioni su di voi 
saranno archiviate, copiate e analizzate quasi 
immediatamente. Prima pensate, poi scrivete. 

Quanto a Kim, scrive ancora il suo blog, ma è 
diventata più cauta, e ha anche cambiato tutte 
le sue password e le relative domande. 
La prossima volta che cercherò di entrare nel 
suo conto corrente, dovrò sapere il nome della 
sua insegnante preferita alle elementari. 

HERBERT THOMPSON ha scritto vari libri 
di divulgazione sul tema della sicurezza 
nell' information technologyeó è responsabile 
capo delle strategie dell'azienda di consulenza 
per la sicurezza informatica People Security. 
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de il segreto totale: una volta che l'informazione è 
rivelata ad altri, non è più privata. Questa idea di 
privacy non è adatta a un mondo connesso in rete. 
I giovani che crescono oggi concepiscono la priva- 
cy in modo più sfumato. Sanno che le informazio- 
ni personali sono abitualmente condivise con mol- 
tissime altre persone e sono coscienti di lasciare 
una traccia di dati ovunque vadano. 

La concezione più sottile di privacy abbracciata 
dalla Generazione Google richiede che una perso- 
na mantenga un certo controllo sulle informazioni 
personali che diventano pubblicamente disponibi- 
li. Questa generazione vuole poter dire la sua sul 
modo in cui vengono diffusi i dettagli privati. 

La questione del controllo sulle informazio- 
ni personali è diventata di primo piano nel 2006, 
quando Facebook aggiunse un'applicazione chia- 
mata News Feeds, che spedisce un messaggio agli 
amici di un utente quando il suo profilo è mo- 
dificato o aggiornato. Con grande sorpresa dei 
gestori di Facebook, molti degli utenti reagiro- 
no con indignazione: ci furono quasi 700.000 re- 
clami. Di primo acchito, la protesta contro News 
Feeds appare sconcertante. Molti degli utenti che 
hanno protestato avevano dei profili interamente 
accessibili al pubblico. Quindi, perché pensavano 
che avvisare i loro amici delle modifiche fosse una 
violazione della privacy? 

Il punto è che, invece di considerare la privacy 
come un insieme di segreti chiusi nell'armadio, va- 
lutavano la questione in termini di accessibilità. 
La maggior parte delle persone, pensavano, non 
avrebbe esaminato i loro profili così attenta- 
mente da accorgersi di modifiche e aggiornamen- 
ti minori. Potevano apportare cambiamenti in ma- 
niera discreta. News Feeds rendeva l'informazione 
più evidente. Il problema di privacy, quindi, non 
riguardava la segretezza, ma l'accessibilità. 

Nel 2007 Facebook ha affrontato un'altra pro- 
testa relativa alla privacy quando ha lanciato 
un sistema di pubblicità in due parti, chiamate 
Social Ads e Beacon. Con Social Ads, ogni vol- 
ta che gli utenti scrivevano un commento positivo 
su un prodotto Facebook ne usava nomi, imma- 
gini e parole in annunci inviati ai loro amici, nel- 
la speranza che il parere di una persona conosciuta 
avrebbe avuto più successo di una normale pub- 
blicità nell'indurre all'acquisto. Con Beacon, Fa- 
cebook ha stretto accordi di condivisione dei da- 
ti con una serie di altri siti web commerciali. Se un 
utente acquistava un DVD su Fandango o un arti- 
colo su un altro sito, l'informazione sarebbe com- 
parsa nel suo profilo pubblico. 

Facebook ha lanciato questi programmi senza 
informarne adeguatamente gli utenti, che si sono 



STRATEGIE DI 
TUTELA DELLA 
PRIVACY 

Negli Stati Uniti le leggi sulla 
privacy sono meno severe che in 
molti altri paesi. Il desiderio di 
tutelare la vita privata delle 
persone su Internet ha stimolato 
un nuovo modo di pensare a 
come far convivere la diffusione 
pubblica dell'informazione con 
l'esigenza di limitare la 
diffusione di dati personali. 

ILLECITO 

DI APPROPRIAZIONE: 

un nome o un volto -per 
-d esempio quello di Angelina 
) \\ Jolie- non possono essere 
mtfj usati a scopo di lucro in un 
S\ annuncio pubblicitario 
\i senza il consenso 
dell'interessato. Per 
affrontare gli abusi che avvengono 
in rete, questo reato previsto dalla 
common law potrebbe essere 
ampliato per fornire una tutela 
contro la pubblicazione non 
autorizzata di immagini on line. 

ILLECITO DI VIOLAZIONE 
DI RISERVATEZZA: 

la diffusione di informazioni 
private nell'ambito di 
rapporti privilegiati - con 
medici, avvocati e con il 
clero, tra gli altri -è 
tutelata. Questa norma 
potrebbe essere rafforzata per 
disciplinare altri rapporti, come 
nel caso di ex amanti, ex amici o 
ex coniugi. 

LA PRIVACY IN PUBBLICO: 

secondo la legge 
americana, un soggetto 
perde il proprio diritto alla 
privacy una volta che 
l'informazione è diventata di 
dominio pubblico, mentre non è 
così in Canada e in molti paesi 
europei. Gli Stati Uniti dovrebbero 
riconoscere che una persona non 
sacrifica ogni diritto alla privacy 
solo per il fatto di apparire in 
pubblico. 





trovati a promuovere inconsapevolmente prodot- 
ti sui siti web degli amici. E alcuni sono rimasti 
sconvolti nel vedere i propri acquisti privati su al- 
tri siti web resi improvvisamente di dominio pub- 
blico nel loro profilo su Facebook. 

La protesta e una conseguente petizione in re- 
te - un documento che ha raccolto rapidamente 
decine di migliaia di firme e ha portato a diver- 
si cambiamenti - hanno obbligato Facebook a ri- 
vedere le procedure. Come testimoniato in questi 
esempi, la privacy non implica sempre la condivi- 
sione di segreti. Gli utenti di Facebook non vole- 
vano che la loro identità fosse usata per promuo- 
vere prodotti con Social Ads. Una cosa è scrivere 
quanto ci è piaciuto un film o un CD; un altro paio 
di maniche è essere usati in un messaggio pubbli- 
citario per propinare prodotti agli altri. 

Modificare la legge 

Il Canada e la maggior parte dei paesi europei 
hanno statuti sulla privacy più vincolanti rispet- 
to agli Stati Uniti [si veda l'articolo La privacy se- 
condo l'Europa, di Stefano Rodotà, a p. 60), dove 
si sono avute resistenze alla promulgazione di una 
norma generale. Altrove la legge riconosce che ri- 
velare informazioni ad altri non estingue il dirit- 
to di un soggetto alla privacy. La crescente acces- 
sibilità dei dati personali, tuttavia, fa sì che anche 
la legge statunitense debba iniziare a riconoscere 
la necessità di tutelare un certo grado di privacy in 
ambito pubblico. 

In alcuni contesti la legislazione degli Stati Uni- 
ti ha un sistema ben sviluppato di controllo delle 
informazioni. Il diritto d'autore riconosce forti di- 
ritti alle informazioni pubbliche, tutelando un'am- 
pia gamma di opere, dai film al software. Tutelare 
il diritto d'autore però non significa mettere sotto 
chiave un'opera dell'ingegno. Potete leggere una 
rivista protetta da copyright, farne una copia a uso 
personale e prestarla ad altri. Ma non potete farne 
tutto ciò che vi pare: per esempio non potete foto- 
copiarla integralmente o venderne copie di con- 
trabbando per strada. La legge sul diritto d'auto- 
re cerca di raggiungere un equilibrio tra libertà e 
controllo, anche se è ancora alle prese con le con- 
tinue controversie dell'era digitale. 

Il punto in cui la legge statunitense sulla priva- 
cy si avvicina di più a una dottrina giuridica simile 
al diritto d'autore è l'illecito di appropriazione, che 
impedisce l'uso del nome o dell'aspetto di qualcun 
altro per ricavarne un vantaggio finanziario. Pur- 
troppo la legge è stata sviluppata in modo da ri- 
sultare spesso inefficace contro il tipo di minacce 
alla privacy che si stanno presentando ora. Il di- 
ritto d'autore rappresenta principalmente una for- 
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La mia vita e la tua vita 



Gli utenti di Facebook hanno chiesto maggiore tutela della privacy dopo che tre applicazioni hanno diffuso informazioni senza chiedere il consenso. 




ma di diritto di proprietà, che protegge i prodot- 
ti dell'espressione personale, come una canzone o 
un quadro. 

Per affrontare le nuove minacce alla privacy bi- 
sognerebbe allargare la portata dell'illecito di ap- 
propriazione. Questo ampliamento potrebbe di fat- 
to promuovere l'interpretazione originale di questo 
principio di common law, che intendeva la priva- 
cy come qualcosa di più di un mezzo per proteg- 
gere la proprietà: «Il diritto di sottrarsi allo sguardo 
pubblico nel momento in cui una persona lo ri- 
tenga opportuno... è incluso nel diritto alla libertà 
personale», dichiarò la Corte Suprema della Geor- 
gia nel 1905. Oggi, però, l'illecito non si applica 
quando il nome o l'immagine di una persona com- 
pare nei notiziari, nell'arte, nella letteratura o sui 
siti di socializzazione. L'illecito di appropriazio- 
ne protegge dall'uso del nome o dell'immagine di 
qualcuno senza il suo consenso per pubblicizzare 
prodotti, ma lo consente in un servizio giornalisti- 
co. È una limitazione piuttosto significativa, da cui 
discende che il principio sarebbe raramente appli- 
cabile ai post su Internet. 

Qualsiasi ampliamento della portata dell'illeci- 
to di appropriazione deve essere controbilanciato 
dalla necessità di permettere la raccolta legittima 
di notizie e la diffusione dell'informazione pub- 
blica. L'illecito dovrebbe probabilmente applicarsi 



soltanto quando le immagini e altri dati persona- 
li siano usati in modi che non rivestono interesse 
pubblico: un criterio che sarà inevitabilmente sog- 
getto a una continua riflessione giudiziaria. 

L'appropriazione non è l'unico abuso di priva- 
cy che deve essere rivisto per assumere più rilevan- 
za in un'epoca di comunicazioni digitali in rete. 
Abbiamo già molti strumenti legali di tutela del- 
la privacy, ma sono paralizzati da concezioni che 
ne impediscono un funzionamento efficace. Un più 
ampio sviluppo della legge dovrebbe tenere in con- 
siderazione gli usi problematici di dati personali ^^ l_Pl"1"l I PP 
esemplificati dal caso di Star Wars Kid o dall'appli- 
cazione Beacon di Facebook. Privacy and Freedom. Westin A., 

Sarebbe meglio che queste controversie si ri- Atneneum, I9b/. 
solvessero senza ricorrere ai tribunali, ma l'ampia phi|osophica| Dimensions of Privacy: 
portata del networking elettronico richiederà prò- An Anthology. Schoeman E, Cambridge 
babilmente alcune modifiche della common law. University Press, 1984. 
Le minacce alla privacy sono spaventose, e la gen- 
te sta iniziando a capire quanto sia forte il senso The Future of Re P utation: Gossi P> 

.. ._ .. . ^ , _ Rumor, and Privacy on the Internet, 

della privacy come diritto fondamentale. Per su- So|Qve Qxm ^^ ^ 2QQJ 

perare questi problemi la società, negli Stati Uniti 

e altrove, deve sviluppare una visione nuova e più Guarding Life's Dark Secrets: Legai 
sfumata dei confini tra pubblico e privato: una vi- and Social Controls over Reputation, 

sione che riconosca che le informazioni persona- Pr °P riet y and Privac V- Friedman LM - 
,. ,. n .,. ,. ., f Stanford University Press, 2007. 
li disponibili saranno sempre di più, e che tutta- 
via tuteli un certo potere di scelta sul modo in cui Understanding Privacy. Solove DJ., 
quell'informazione è condivisa e diffusa. ■ Harvard University Press, 2008. 
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OPINIONI 



RIFLESSIONI SULLA 

PRIVACY 2.0 



Molte delle «questioni di privacy» in realtà sono legate alla sicurezza, 
alla politica sanitaria, alle assicurazioni o al modo in cui vogliamo apparire 
agli altri. Prima di discutere di privacy, è bene chiarire le differenze 

di Esther Dyson 




Il padre di Adam è stato 
i ingiustamente condannato 
per furto. 






Betty è il giudice che ha 
appena condannato alla 
prigione il padre di Adam. 







Chris è il vero autore del furto. 
La sua ragazza ha presentato 
domanda di assunzione nel 
tribunale dove lavora Betty. 



IN SINTESI 



In molti casi l'erosione 
della privacy può essere 
meglio compresa in termini 
di danni d'altro tipo. 

A volte si parla di «perdita 
della privacy» quando si 
dovrebbe parlare di perdita 
di sicurezza. 

Molte delle preoccupazioni 
per la riservatezza dei dati 
genetici (anche se non 
tutte) sparirebbero se le 
cure mediche fossero 
accessibili a tutti. 

I cittadini devono avere il 
diritto di controllare le 
attività del governo e dei 
pubblici funzionari, e di far 
circolare le informazioni 
in proposito. 

Le persone si stanno 
impadronendo di strumenti 
efficaci per controllare 
quali informazioni personali 
desiderano comunicare, 
e a chi. 



La privacy è una specie di test di Rorschach 
pubblico: basta la parola per dare il via a 
discussioni infuocate. C'è chi si preoccu- 
pa degli abusi di potere dei governi; chi arrossisce 
del proprio passato di droga e sesso; chi si indigna 
perché le aziende raccolgono dati privati per indi- 
rizzare la pubblicità, o perché le compagnie assicu- 
rative scavano nei dati medici personali per negare 
a determinate persone la copertura di una polizza. 
Alcuni temono un mondo pervaso dalle esigenze 
commerciali, in cui si usano i dati per classificare 
le persone nell'uno o nell'altro dei vari «segmenti 
di mercato», in modo da rispondere meglio ai loro 
più riposti desideri o per sfruttarne i più frivoli ca- 
pricci. Altri si inquietano per possibili forme di in- 
trusione statale o di condanna sociale. 

In genere queste paure sono presentate come 
questioni di scelta: tra privacy da un lato e cure 
mediche efficaci dall'altro; tra privacy e contenuto 
gratuito (ma basato sulla pubblicità) dall'altro; tra 
privacy e sicurezza. Non sono discussioni nuove, 
ma oggi stanno tornando alla ribalta, e a prestar- 
vi attenzione non sono più soltanto gli specialisti, 
gli addetti ai lavori e un piccolo numero di ostinati 
difensori della riservatezza personale. 

L'erosione della privacy è indiscutibile. La mag- 
gior parte degli statunitensi oggi è in rete, e qua- 
si tutti ci siamo chiesti almeno una volta «ma come 
hanno fatto a sapere questa cosa?». Il governo og- 
gi in carica sta ripetutamente violando la riserva- 
tezza dei cittadini, e al tempo stesso aumenta le sue 



attività segrete. E diventato difficile agire nell'ano- 
nimato se qualcuno - specialmente il governo - fa 
ogni sforzo per individuarvi. 

Tuttavia sono emersi motivi nuovi, e cogenti, 
per rivelare informazioni attinenti alla propria sfe- 
ra privata. La medicina personalizzata sta per di- 
ventare realtà. Le dettagliate informazioni sanitarie 
e genetiche contenute nelle storie mediche priva- 
te offrono un enorme potenziale di accrescimento 
del benessere sociale generale, sia in termini di cu- 
re individuali sia con l'analisi delle statistiche epi- 
demiologiche delle popolazioni. Molte persone si 
divertono nella condivisione di informazioni per- 
sonali sul Web. E la minaccia del terrorismo ha in- 
dotto molti a cedere informazioni private in cam- 
bio della promessa di tranquillità e sicurezza. 

Gran parte della privacy che davamo per scon- 
tata era in realtà la conseguenza dei limiti delle ca- 
pacità di ricerca e raccolta delle informazioni. Ma 
questi limiti oggi sono quasi tutti scomparsi. Come 
se fossimo tutti divi del cinema, i nostri movimen- 
ti possono essere sorvegliati, e chiunque può com- 
mentare il nostro peso e il taglio di capelli o impic- 
ciarsi delle nostre relazioni romantiche. 

Condizioni limite 

Questo numero di «Le Scienze» si concentra 
principalmente sulle tecnologie che riducono la 
privacy e su quelle che la difendono. Ma per in- 
quadrare meglio la discussione vorrei individuare 
tre punti, fra loro ortogonali. 



In primo luogo, quando si definisce la rivelazio- 
ne di determinate informazioni come una violazio- 
ne della privacy, è utile distinguere i danni obiet- 
tivi che potrebbero derivarne - frodi, negazione 
dell'accesso a servizi, negazione di libertà - dagli 
eventuali danni soggettivi, cioè dal percepire come 
un danno il solo fatto che un'altra persona cono- 
sca le nostre informazioni private. In molti casi si 
chiama «violazione della privacy» ciò che in realtà 
è una violazione alla sicurezza o un danno finan- 
ziario: se a essere rivelato e usato indebitamente è 
il vostro codice fiscale, la privacy non c'entra: è un 
problema di sicurezza. Quando si tratta di una vera 
violazione della privacy, invece, il «danno» perce- 
pito dalla persona è soggettivo e personale. Invece 
di tentare di definire la privacy per tutti e per ogni 
circostanza, la società dovrebbe dare alle persone 
gli strumenti per controllare l'uso e la diffusione 
dei loro dati. L'equilibrio tra segretezza e apertu- 
ra è una preferenza individuale, ma l'esigenza di 
strumenti, e persino di leggi, per mettere in pratica 
quella preferenza è generale. 

In secondo luogo, mentre si ridisegnano i confi- 
ni tra pubblico e privato salvaguardare il diritto dei 
singoli a conoscere e riferire le attività di organiz- 
zazioni potenti come governi o grandi aziende è un 
elemento chiave per tutelare la libertà e bilanciare 
gli interessi dei singoli e quelli delle istituzioni. 

Il terzo punto riprende il primo: nel valutare i 
mutamenti delle aspettative in materia di privacy 
è importante riconoscere il carattere composito del 



controllo personale dei dati. La privacy non è a ta- 
glia unica: persone diverse in momenti diversi han- 
no preferenze diverse su ciò che accade alle loro 
informazioni personali e chi può conoscerle. Certo, 
imporre le proprie condizioni può essere difficile o 
impossibile in situazioni di coercizione; trattando 
con strutture governative, per esempio, o con orga- 
nizzazioni come un datore di lavoro o una compa- 
gnia assicurativa, da cui si vuole ottenere qualcosa. 
Spesso però le persone sono in una posizione più 
forte di quanto credano. E oggi stanno entrando in 
possesso degli strumenti e delle conoscenze neces- 
sarie per sfruttare quella posizione. 

Danni obiettivi 

La sicurezza non è l'unico problema pubbli- 
co che viene scambiato con la privacy. Per esem- 
pio molte questioni di riservatezza in medicina e 
genetica sono in realtà problemi di denaro e assi- 
curazioni. È giusto che le persone in cattiva salute 
siano costrette a pagare di più per ottenere le cure 
mediche? Se si pensa di no, può essere inevitabi- 
le concludere che a queste persone va tacitamente 
permesso di mentire. Questa conclusione è spesso 
presentata, in maniera fuorviante, come una forma 
di protezione della privacy, mentre il vero proble- 
ma è il modo di fare affari del settore assicurativo 
negli Stati Uniti. La gente non darebbe tanta im- 
portanza alla privacy in campo medico se rivelan- 
do la verità sulla propria salute non si esponesse a 
spese mediche e premi assicurativi più onerosi. 



LA CRESCENTE TRASPARENZA 
dei tradizionali confini personali 
messa in moto da Internet costringerà 
ad affrontare alcune questioni etiche 
che non sarebbero emerse quando 
le informazioni erano separate 
in modo più netto. I profili personali 
qui sopra sono stati inventati a fini 
illustrativi. Se corrispondessero 
davvero alle persone fotografate, 
e fossero resi pubblici on line, 
emergerebbero spinose questioni di 
natura etica. 
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ESTHER DYSON investe attivamente 
in aziende innovative, fra cui 
23andMe (informazioni sul genoma 
dal punto di vista del consumatore), 
PatientsLikeMe (condivisione di 
informazioni mediche in rete) e 
Boxbe (preferenze e-mail decise 
dall'utente). Insieme ad altre nove 
persone pubblicherà on line la 
sequenza completa del suo genoma 
e le relative informazioni sanitarie 
personali per il Personal Genome 
Project. È autrice del libro Release 
2.0, che affrontava i temi della 
privacy online già nel 1997. 



I dati genetici sembrano un esempio particolar- 
mente inquietante di potenziali discriminazioni. 
Uno dei timori è che le compagnie assicuratrici co- 
mincino a chiedere test genetici a chi vuole stipu- 
lare una polizza, per poi negarla a tutti quelli che 
presentano un rischio genetico. Il genoma contiene 
effettivamente moltissime informazioni; può iden- 
tificare univocamente una persona (tranne che nel 
caso di gemelli identici) e svelare rapporti di pa- 
rentela che erano stati tenuti nascosti. Alcune rare 
malattie possono essere diagnosticate in base alla 
presenza di determinati marcatori genetici. 

Ma i geni sono solo uno dei fattori della vita di 
una persona; ci dicono poco delle dinamiche fa- 
miliari, e non possono dirci quel che una persona 
ha fatto con le capacità che ha ereditato. L'influen- 
za dei geni si esercita attraverso complesse intera- 
zioni con il modo in cui si è cresciuti, il comporta- 
mento, l'ambiente e il caso puro e semplice. 

Tuttavia, con ogni probabilità la prossima gran- 
de ondata di informazioni mediche e genetiche 
cambierà la natura stessa delle assicurazioni sa- 
nitarie. Grazie alla maggiore abbondanza di in- 
formazioni mediche su ampie popolazioni e a un 
miglior sistema di accertamento dei risultati del- 
le terapie, diventa via via più facile formulare pre- 
visioni accurate sulla base di studi statistici. Ma se 
le persone possono essere suddivise nei cosiddetti 
scaglioni di costo con ragionevole accuratezza, as- 
sicurare singoli individui contro il rischio di soste- 
nere costi medici elevati non è più una questione 
di mettere insieme le risorse collettive per far fron- 
te a rischi individuali ignoti. Piuttosto, si tratta di 



stabilire che la società deve pagare sussidi per of- 
frire una copertura assicurativa alla portata di chi 
presenta rischi sanitari così alti da rendere proibi- 
tivo, se dovesse pagarlo di tasca propria, il costo 
delle cure o il relativo premio assicurativo. 

Di conseguenza la società dovrà decidere, in 
maniera chiara e aperta, quali tipi di discrimina- 
zione sono accettabili e quali no. Saremo tutti co- 
stretti ad affrontare una serie di scelte etiche in 
maniera netta, invece di nasconderci dietro la con- 
fusione dovuta all'opacità informativa. Se si asse- 
gna il compito di amministrare i sussidi alle com- 
pagnie assicurative, queste richiederanno regole 
chiare su quali siano i costi sanitari individuali che 
la società vuole coprire, e fino a che punto sia di- 
sposta a pagare per essi. 

Il diritto di rendere testimonianza 

Il bisogno di regole sulla privacy si fa realmente 
sentire quando un soggetto si trova nella posizio- 
ne di esigere che un altro riveli determinati dati. 
L'esempio più rilevante è il potere del governo di 
raccogliere dati personali e farne uso (o abuso). A 
questo potere è necessario mettere dei limiti. 

In che modo? Non tanto con regole che proteg- 
gano la privacy dei singoli, regole che il governo 
potrebbe decidere di non rispettare o non far ri- 
spettare, ma attraverso regole che limitino la pri- 
vacy del governo e dei suoi funzionari. Il pubblico 
deve continuare ad avere il diritto di sapere e di te- 
stimoniare su quel che sa. 

Finora lo strumento principale per assicurare 
questo diritto sono stati i mezzi di comunicazio- 
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SOCIETÀ E TECNOLOGIA 

XVII secolo: 



clero, che tiene i 
registri di nascite, matrimoni e 
morti, amplia sempre più la propria 
rete di raccolta di informazioni 
sugli affari della comunità. In 
Massachusetts i cosiddetti 
tythingmen, o cani da guardia del 
governo, ispezionano le abitazioni 
per controllare la condotta morale. 



? XVIII secolo: la 

privacy domestica 
è quasi inesistente; 
i membri della 
famiglia, e persino 
gli ospiti, 
condividono 
abitualmente il letto. 



9 XVIII secolo: 

la corrispondenza 
è regolarmente 
aperta quando 
passa attraverso 
il sistema postale. 




Paradossalmente, gli americani nutrono 
un'insaziabile curiosità per gli affari degli 
altri, ma al tempo stesso insistono a voler 
essere lasciati in pace. 



> XVII secolo: in base 
alle regole dei Puritani 
tener d'occhio i propri 
vicini è un dovere 
civico. In molte città è 
vietato vivere da soli. 



cTxVIII secolo: la vita 
privata è vista come un 
rifugio dall'agitazione 
degli affari pubblici. Come 
già per gli inglesi e gli 
antichi romani, pericoloni 
«la casa di un uomo è il 
suo castello». 



LEGGI E POLITICHE 



? XIX secolo: 

protetta dal Primo 
Emendamento, la 
stampa popolare 
{penny press) 
pubblica sfrenati 
pettegolezzi sulla 
vita privata delle 
persone famose. 



> 1791: la Dichiarazione dei Diritti 
protegge la libertà di parola e il diritto 
a non subire perquisizioni e sequestri 
ingiustificati. 

<!> 1787: la Costituzione degli Stati Uniti 
stabilisce che ogni dieci anni si faccia un 
censimento, ma 
molti lo guardano 
con diffidenza. « ^ocftaSE 
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?1838: 

introduzione 
del telegrafo, 
e inizio delle 1900 circa: le 

intercettazioni impronte digitali 
dei messaggi « SO no riconosciute 




> 1890: Samuel 
D.Warren, Jr., 
e Louis D. 
Brandeis 
sostengono il 
diritto alla 
privacy sulla 
«Harvard Law 
Review». 




- - s 



ne di massa. Oggi però Internet sta dando alla gen- 
te gli strumenti per prendere in mano direttamente 
le cose. Qualunque macchina fotografica o video- 
camera può dare pubblica testimonianza di un atto 
di oppressione, come dimostrò drammaticamente 
il video di Rodney King già nel 1991, e come han- 
no nuovamente dimostrato le foto di Abu Ghraib 
nel 2004. Internet è la piattaforma che offre a tutti 
accesso immediato a un pubblico potenzialmente 
vasto quanto il mondo. Resoconti e denunce pro- 
dotti da organizzazioni non governative (ONG) e 
privati cittadini di ogni parte del mondo si diffon- 
dono su Internet mediante i siti di socializzazione 
e di condivisione di file, ma anche come messaggi 
sui telefoni cellulari. 

Forse il miglior modello di ciò che i cittadi- 
ni dovrebbero esigere dal governo è, ironia della 
sorte, ciò che il governo chiede alle aziende. Ne- 
gli Stati Uniti, le regole sulla pubblicità delle in- 
formazioni aziendali si stanno facendo sempre più 
stringenti, e riguardano il trattamento della forza 
lavoro, i risultati finanziari e qualunque altra at- 
tività dell'azienda. Gli investitori hanno il dirit- 
to di sapere ciò che riguarda l'azienda di cui sono 
proprietari, e i consumatori hanno il diritto di co- 
noscere gli ingredienti dei prodotti che comprano 
e il modo in cui sono stati fabbricati. 

Alla stesso modo, i cittadini hanno il diritto di 
sapere come si comportano, nel loro lavoro, le per- 
sone che eleggono e pagano. Abbiamo il diritto di 
conoscere i conflitti di interesse in cui sono coin- 
volti, e il modo in cui i pubblici funzionari impie- 
gano il loro tempo - che poi è nostro. Dovremmo 



9 1973: «Esiste un crescente 
timore che i computer 
costituiscano già oggi, o 
costituiranno ben presto, una 
grave minaccia per la 
riservatezza individuale». 

HorstFeistel, 

Cryptography and Computer 

Privacy, in «Le Scienze», 

agosto 1973. 




DILEMMI 
DELL'IDENTITÀ 

È necessario poter dimostrare 
la propria identità per ottenere 
un impiego, guidare la macchina, 
ottenere credito e così via. 

D'altra parte la disponibilità di 
informazioni personali è così 
abbondante da rendere abbastanza 
facile assumere l'identità di un'altra 
persona realmente esistente. 

Inoltre, che cosa dovrebbe fare la 
società con coloro che non possono o 
non vogliono fornire una prova della 
propria identità - gli immigrati illegali, 
le persone che cercano di rifarsi 
una vita, coloro che vogliono 
semplicemente mantenere la propria 
riservatezza? 



avere nei confronti del governo gli stessi diritti che 
spettano ad azionisti e consumatori nei confronti 
delle aziende quotate in borsa. In effetti ritengo che 
i cittadini abbiano dei diritti in più nei confronti del 
governo, proprio perché siamo costretti a dare al 
governo così tante informazioni su di noi. Dovrem- 
mo essere in grado di controllare ciò che fa il go- 
verno con i nostri dati, e di sottoporre a verifica (at- 
traverso nostri rappresentanti) i processi di gestione 
dei dati e quelli che ne tutelano la sicurezza. 

Aziende alla luce del sole 

Quanto alle aziende, non hanno molti diritti al- 
la privacy, e giustamente. Certo, hanno il diritto 
di registrare le transazioni con i clienti, e quan- 
do si tratta di concedere crediti in genere sono ri- 
chieste informazioni di natura privata per dimo- 
strare la solvibilità. Ma se un'azienda può rifiutarsi 
di vendere a credito i consumatori possono rifiu- 
tarsi di fare affari con un'azienda che chiede trop- 
pi dati. Al di là di questo, tutto dovrebbe essere ne- 
goziabile. I clienti possono chiedere di sapere ciò 
che fanno le aziende con i loro dati e, se non gra- 
discono le risposte, possono rivolgersi altrove. Ciò 
che va imposto per legge è che le aziende facciano 
davvero quel che dichiarano di fare. 

Come nel caso delle informazioni su chi gover- 
na (e in particolare su chi si candida a cariche pub- 
bliche), le informazioni disponibili sulle aziende 
stanno andando al di là di quanto richiesto dalle 
regole in vigore. L'uomo della strada, in ogni sfe- 
ra di attività, si sta prendendo la rivincita. Ci sono 
siti web di ogni tipo in cui gli utenti classificano e 



?1976:Withfield 
Diffie e Martin E. 
Hellman inventano 
la crittografia 
a chiave pubblica. 




9 Anni ottanta: si < 

diffondono i 
telefoni cellulari e 
l'identificazione 
mediante DNA. 




1989: a 

Internet si 
aggiunge il 
Word Wide 
Web. 



9 1995: primo uso del 
termine Spyware. 



9 2004: debutto 
di Facebook, 
popolare sito di 
network sociale. 



A 1928: la Corte 
Suprema 
stabilisce che il 
sequestro di 
conversazioni 
segrete è 
ammesso dalla 
Costituzione. 



-o 1936: alla maggior 
parte dei cittadini adulti 
viene assegnato un 
numero di Sicurezza 
Sociale, che diventa un 
elemento dell'identità 
personale per tutta 
la vita. 



> 1966: viene 
approvato il 
Freedom of 
Information 
Act (FOIA). 



i 1968: il Titolo III 
dell'Omnibus Crime 
Control and Safe Streets 
Act (a volte definito 
come «la fine della 
privacy») specifica i casi 
in cui è necessario un 
mandato per compiere 
intercettazioni 
telefoniche. 



> 1978-1994: il Congresso approva modifiche 
alle leggi sulle intercettazioni, prima in 
risposta agli abusi del caso Watergate e poi 
per imporre alle aziende 
di telecomunicazioni 
di essere disponibili 
alle intercettazioni. 




> 2001: lo USA 
Patriot Act dà alle 

autorità ampi 
poteri discrezionali 
nell'esaminare 
banche dati 
e condurre 
operazioni 
di sorveglianza. 



2008: il 

Congresso 
aggiorna la 
legge sulle 
intercettazioni, 
ampliando 
il potere 
di sorveglianza 
dell'esecutivo. 
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UNA LAMA A 
DOPPIO TAGLIO 

Il diritto di rendere testimonianza, 
di seguire le attività del governo 
e di rendere pubbliche dichiarazioni 
su di esse è essenziale per 
mantenere la libertà. 

Storicamente i cittadini degli Stati 
Uniti hanno tenuto d'occhio il 
governo attraverso: 

■ i mezzi di informazione; 

■ i resoconti pubblici delle sessioni 
legislative e delle deposizioni al 
Congresso; 

■ il Freedom of Information Act 
(FOIA) e simili. 

Il Web offre nuovi strumenti per 
sorvegliare e scoprire: 

■ le attività dei pubblici funzionari; 

■ i loro conflitti di interesse; 

■ il destino dei dati personali che 

i cittadini forniscono al governo; 

■ il modo in cui viene mantenuta 
la sicurezza di quei dati. 



recensiscono ogni genere di servizio - dai medici 
agli alberghi - e di prodotto. 

Prendiamo un sito che dovrebbe diventare atti- 
vo tra poco, Barcode Wikipedia; il sito permette- 
rà agli utenti di pubblicare tutto ciò che sanno o 
riescono a scoprire a proposito di un certo prodot- 
to: il luogo in cui è stato fabbricato o assemblato, il 
modo in cui il fabbricante tratta i propri dipenden- 
ti, l'impatto ambientale, gli effetti collaterali e così 
via. Anche le aziende saranno libere di pubblicare 
sul sito i propri messaggi, raccontando la storia dal 
proprio punto di vista. Con un accesso così aperto, 
ovviamente, è probabile che nei messaggi vi siano 
esagerazioni e falsità, insieme a informazioni dav- 
vero utili. Con il tempo, però - come ha dimostrato 
l'esperienza dell'enciclopedia collettiva Wikipedia - 
gli utenti si terranno reciprocamente sotto control- 
lo, e la verità finirà più o meno per emergere. 

Vivere in pubblico 

Fino a poco tempo fa la privacy della maggior 
parte noi era resa possibile (ma non garantita) da 
limiti materiali alla diffusione delle informazioni: 
le notizie su ciò che accadeva in privato non fa- 
cevano molta strada, a meno che non si fosse una 
persona famosa. Ma oggi è il concetto stesso di pri- 
vacy che sta cambiando. Molti adulti sono spaven- 
tati da quel che trovano su Facebook o su MySpa- 
ce. Tra gli adolescenti c'è anche chi è consapevole 
dei rischi inerenti all'uso di questi siti di socializza- 
zione, ma poi non li prende sul serio. Ed è probabi- 
le che finisca per emergere qualche tipo di codice 
che limiti le conseguenze dei nostri comportamen- 
ti più sciocchi. La maggior parte dei datori di lavo- 
ro (che possono esaminare le pagine web dei can- 
didati a un impiego come chiunque altro) cambierà 




VANTAGGI E SVANTAGGI dell'archiviazione elettronica sono 
illustrati con chiarezza dal dilemma sulla disponibilità on 
line di cartelle cliniche e dati sanitari. Questi dati 
potrebbero salvare la vita della vittima, priva di conoscenza, 
di un incidente {a sinistra). Ma, se fossero resi noti problemi 
sanitari potenzialmente costosi, una persona potrebbe 
vedersi negata la copertura assicurativa {sopra). 

semplicemente i suoi standard e continuerà ad as- 
sumere. Basta pensare ai tatuaggi: vent'anni fa gli 
adulti li condannavano, ma adesso una su due del- 
le donne che incontro in palestra è tatuata, e direi 
che la proporzione è la stessa tra gli uomini. 

I ragazzi hanno ancora il senso della privacy, e 
capita ancora che si sentano feriti dalle opinioni 
degli altri. È solo che un maggior numero di loro 
ha preso l'abitudine di vivere in pubblico una par- 
te della propria vita più ampia di quanto facciano 
i loro genitori. Questo è un cambiamento concre- 
to: ma anche il XX secolo aveva visto un cambia- 
mento rispetto al precedente. Nell'Ottocento qua- 
si nessuno dormiva da solo. Solo i ricchi avevano 
una stanza privata, ma avevano anche dei servito- 
ri che svuotavano i loro vasi da notte, li aiutavano 
a vestirsi e badavano alle loro esigenze più intime. 
Le nostre idee novecentesche di privacy fisica so- 
no piuttosto nuove. 

Per secoli nei villaggi tutti sapevano quasi tut- 
to degli altri, anche se poco era esplicito. La diffe- 
renza, rispetto alla vita di paese dei secoli scorsi, è 
che allora Bruno non poteva andare su Internet a 
vedere ciò che diceva Alice. Magari poteva pensa- 
re che Alice fosse al corrente di certe cose, ma non 
doveva affrontare il fatto che effettivamente le sa- 
peva. Allo stesso modo Bruno poteva evitare fa- 
cilmente di avere a che fare con Alice. Oggi inve- 
ce, se Bruno è l'ex ragazzo di Alice, può torturarsi 
guardandola flirtare con altri su Internet. Ma esiste 
una privacy rispetto ai propri stessi desideri? 

I miei dati e io 

Un secondo cambiamento di grande importanza 
in materia di riservatezza personale è che la gen- 
te sta imparando a esercitare un controllo su quali 



Rivelarsi per gradi 



Un uomo calvo e sovrappeso potrebbe voler controllare il modo in cui i vari aspetti dei 
suoi dati medici registrati in formato elettronico sono resi noti a una cerchia di 
persone sempre più ristretta. Calvizie e peso in eccesso sono visibili a tutti (anche se in 
modo impreciso), ma non ritiene vi sia motivo per cui - oltre al suo medico, alla moglie, 
agli amici e ai colleghi, altri debbano essere informati della sua dieta e dei suoi 
programmi di esercizio fisico. Gli va bene che il dottore, la moglie e gli amici più stretti 
sappiano che assume farmaci contro la calvizie, ma vuole che gli unici a sapere che è 
afflitto da una disfunzione sessuale siano la moglie e il medico. 



Sono a dieta 

e faccio ginnastica 
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Sto assumendo 
un farmaco contro 
" la calvizie 



Ho una disfunzione 
sessuale 




dei propri dati intende lasciar conoscere agli altri. 
Facebook ha dato a milioni di persone gli stru- 
menti per farlo, e anche, sia pure involontariamen- 
te l'abitudine a usarli. L'hanno scorso Facebook 
irritò molti dei suoi utenti con Beacon, un servi- 
zio che teneva traccia degli acquisti effettuati al di 
fuori del sito e ne informava gli amici (si veda in 
proposito l'articolo La privacy al tempo del Web, a 
p. 112). Il risultato è stato che molti utenti hanno 
scoperto alcune impostazioni relative alla privacy 
che fino a quel momento avevano ignorato. Molti 
dei suoi membri oggi modificano le proprie impo- 
stazioni di privacy, sia per quanto riguarda le no- 
tizie sui loro amici (davvero volete essere informa- 
ti tutte le volte che Matteo esce con una ragazza?), 
sia per le notizie su se stessi che vanno agli amici 
(davvero volete raccontare a tutti il vostro ultimo 
giro nei negozi?). 

Flickr, un sito web per condividere fotografie, 
dà modo agli utenti di controllare chi può veder- 
le, anche se in modo limitato. È però probabile che 
questo tipo di controlli divenga più preciso. Oggi, 
se vuole, un utente può definire un gruppo chiù- 
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a disposizione i propri dati e la 
trasparenza sono sul sito www. 
huffingtonpost.com/esther-dyson. 

Ulteriori informazioni sul Personal 
Genome Project sono disponibili sul sito 
www.personalgenomes.org. 

Per saperne di più sulla Sunlight 
Foundation e i suoi strumenti per la 
trasparenza, si visiti il sito www. 
sunlightfoundation.com. 



so, ma non è la stessa cosa che essere in grado di 
far vedere selettivamente le proprie cose solo ad 
alcuni amici ben specificati. Qualcuno, per esem- 
pio, potrebbe voler creare due gruppi familiari in- 
tersecati: il primo composto di tutti i suoi fratel- 
li e sorelle più sua madre, e l'altro che comprende 
i fratelli e le sorelle più il padre e la sua seconda 
moglie, ma non la madre. Altri potrebbero voler 
creare sottogruppi familiari diversi: un padre con i 
suoi figli, per esempio, ma senza la nuova moglie, 
la cui stessa esistenza potrebbe esigere una certa 
riservatezza. 

Di recente danah boyd (sì, tutto in lettere mi- 
nuscole), blogger ed esperta di networking socia- 
le nonché resident fellow del Berkman Center for 
Internet & Society della Harvard University, ha 
espresso con molta eloquenza il desiderio degli 
utenti di controllare con precisione chi può vedere i 
loro messaggi e le pubblicità che li accompagnano. 
Ciò che importa, in altre parole, non è quali pubbli- 
cità vedo io; è quella che vedono i miei amici sul- 
la «mia» pagina web. Per la boyd - e per molti altri 
- la questione non è la privacy, quanto il modo di 
presentare se stessi (e, nel caso della boyd, anche il 
proprio nome). Le persone sanno di non poter con- 
trollare tutto ciò che gli altri dicono di loro, ma si 
dirigono in massa verso i servizi di socializzazio- 
ne on line che permettono di controllare il modo 
in cui presentano se stessi in rete, e chi può vedere 
questa o quella delle loro presentazioni. 

Questo genere di controllo finirà per estendersi, 
a mio avviso, alla nozione di vendite «amichevoli». 
Alice è contenta se chi le ha venduto il maglione 
rosso taglia 52 conosce le sue abitudini di acqui- 
sto, ma non vuole che i suoi amici, il suo attuale 
ragazzo o altri fornitori abbiano accesso a quelle 
informazioni. Alice non ha alcun controllo su quel 
che gli altri dicono o sanno di lei. Se Bruno conti- 
nua a mettersi il maglione rosso anche dopo che si 
sono lasciati, qualcuno potrebbe notarlo. E ci so- 
no un sacco di modi per associare questa informa- 
zione ad altre. 

La trasparenza, in ogni caso, non semplifica la 
realtà. Questi nuovi strumenti sociali fanno sì che 
le cose e i servizi, le vite e i rapporti, risultino com- 
plicati esattamente come sono davvero. E la re- 
altà è che non esiste una verità unica, né una li- 
sta semplice di chi è autorizzato a sapere che cosa. 
L'ambiguità è una costante, nella storia come nei 
romanzi, nelle campagne politiche come nei con- 
tratti d'affari, nelle lettere di ringraziamento come 
nei complimenti, per non parlare di divorzi, cause 
legali, dimissioni dal lavoro e inviti fatti per dove- 
re. Non sarà l'aggiunta di un po' di silicio e di soft- 
ware a cancellare l'ambiguità. ■ 
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DIRITTO 



LA PRIVACY SECONDO 

L'EUROPA 



La tutela dei dati personali è un problema globale con soluzioni diverse. 
Unione Europea e Italia hanno leggi che disciplinano ogni aspetto e che non 
lasciano scoperto alcun settore, come invece accade negli Stati Uniti 



di Stefano Rodotà 



IN SINTESI 

■ La massiccia raccolta di 
dati personali operata da 
soggetti pubblici e privati, le 
tecnologie di controllo e la 
nascita di network sociali su 
Internet stanno cambiando 
la natura della privacy. 

Alla definizione originaria di 
privacy -il diritto di essere 
lasciato solo - si è aggiunto 
il rapporto tra sfera pubblica 
e privata. La tutela dei dati 
personali diventa quindi una 
componente della libertà 
delle persone, che hanno 
il diritto di controllare l'uso 
che si fa delle informazioni 
che le riguardano. 

Ma se il problema è globale 
le soluzioni adottate sono 
diverse. Nell'Unione 
Europea e in Italia la tutela 
della privacy è affidata 
a leggi che ne disciplinano 
tutti gli aspetti. Gli Stati 
Uniti invece hanno leggi 
settoriali che lasciano 
scoperti aspetti importanti. 
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Continuano le metamorfosi della privacy, 
e ci si interroga sul suo futuro. Dopo 1' 11 
settembre una copertina di «Newsweek» 
poneva una domanda perentoria: «Soprawiverà la 
privacy nell'età del terrore?». A questo interrogati- 
vo, oggi, possiamo aggiungerne un altro: «Soprav- 
viverà la privacy nell'età del social networking, di 
YouTube, Myspace, Facebook?». 

Prima ancora di queste svolte radicali erano ve- 
nute risposte altrettanto perentorie, e negative. Già 
nel 1999 Scott McNealy, all'epoca amministratore 
delegato di Sun Microsystems, concludeva così: 
«Non avete più privacy. Scordatevela». E un anno 
prima, nel film Nemico pubblico, si diceva: «La sola 
privacy che avete è nella vostra testa. E forse nean- 
che lì». Una previsione che potrebbe avverarsi, se si 
considerano le ricerche sulle «impronte cerebrali», 
che fanno pensare a Sigmund Freud quando parla- 
va dell'«Io non più padrone in casa propria». 

Alla fine degli anni novanta, però, la progressiva 
riduzione dell'area della privacy appariva come il ri- 
sultato di crescenti interferenze esterne, provenien- 
ti da soggetti pubblici per finalità di controllo e da 
imprese private per ragioni di marketing. Oggi in- 
vece la raccolta massiccia di informazioni personali 
e la costruzione di profili sempre più analitici sono 
rese possibili anche dal fatto che milioni di persone 
mettono in rete dati che le riguardano, anche i più 
intimi, in un'ininterrotta conversazione sociale che 
li rende disponibili per chiunque voglia usarli. 



La privacy quindi cambia natura o, meglio, si 
sfaccetta, rivela molteplici dimensioni. L'originaria 
sua definizione, «diritto d'essere lasciato solo», non 
è più in grado di comprendere tutte le sue manife- 
stazioni in un'organizzazione sociale caratterizza- 
ta da un'intensa circolazione di informazioni per- 
sonali e da modi tecnologicamente nuovi di racco- 
glierle, conservarle, diffonderle. Quel modo di in- 
tendere la privacy era un'estensione del principio 
my home, my castlc. Come la propria abitazione 
era circondata da mura che impedivano l'ingresso 
e lo sguardo indesiderato degli altri, così doveva 
essere per la vita privata, per l'intimità, poste al ri- 
paro da ogni forma di pubblicità non gradita. Ma 
in questo mondo chiuso penetra un diverso modo 
di intendere la privacy, che considera il rapporto 
tra sfera pubblica e sfera privata, vedendo nella 
forte tutela di quest'ultima anche una condizione 
per tutelare la manifestazione del dissenso, i diritti 
delle minoranze. 

Questa duplicità si coglie nel modo stesso in cui 
interpretano la privacy i due autori di un celebre 
saggio apparso nel 1890 sulla «Harvard Law Re- 
view», considerato come l'atto di nascita del righi to 
be lei alone, il diritto d'essere lasciato solo. Samuel 
Warren, il grande avvocato, vede nella privacy lo 
strumento per mettere la vita privata al riparo da 
indiscrezioni della stampa, da un sistema dell'in- 
formazione che già si rivelava sempre più avido di 
fatti personali. Louis Brandeis, il giurista che di- 
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hi tutela la nostra privacy? 



In Italia la tutela della privacy individuale è assicurata del Garante per la 
protezione dei dati personali, autorità indipendente istituita con la Legge n. 
675 del 31 dicembre 1996. 1 membri del Garante sono quattro, due eletti 
dalla Camera dei Deputati e due dal Senato, e devono essere scelti tra 
persone che, come recita l'articolo 3 della legge istitutiva, «assicurino 
indipendenza e che siano esperti di riconosciuta competenza nelle materie 
del diritto o dell'informatica, garantendo la presenza di entrambe le 
qualificazioni». A loro volta i quattro membri, in carica per quattro anni e 
riconfermabili una sola volta, eleggono uno di loro come presidente. 
Attualmente il Garante è presieduto da Francesco Pizzetti (nella foto), 
professore di diritto costituzionale all'Università di Torino. 
Tra i compiti dell'autorità, specificati sempre dalla Legge n. 675/96, ci 
sono: controllo della conformità dei trattamenti a leggi e regolamenti, 
esame di segnalazioni e reclami degli interessati, autorizzazione al 
trattamento di dati sensibili, divieto o blocco di trattamenti che presentino 



rischio concreto di rilevante giudizio per l'interessato, controllo anche su 
richiesta degli interessati su trattamenti di dati personali effettuati da 
forze di polizia e dai servizi di informazione e sicurezza. 
Nel 2003, col Decreto Legislativo n. 196 del 30 giugno, è stato emanato il 
Codice in materia dei dati personali, un testo unico, entrato in vigore il 1 ° 
gennaio 2004, che rappresenta il primo tentativo al mondo di comporre in 
maniera organica le diverse disposizioni relative alla privacy. Ecco in 
sintesi alcuni dei punti del codice. Per i dati genetici è previsto il rilascio di 
un'apposita autorizzazione da parte del Garante, sentito il Ministro della 
Salute. Viene introdotta la «ricetta impersonale», cioè la possibilità di non 
rendere identificabili in farmacia gli intestatari di ricette. È imposto l'uso 
della busta chiusa per la notifica di atti giudiziari o amministrativi a 
persona diversa dal destinatario. Viene riaffermato quanto sancito dallo 
Statuto dei lavoratori sui controlli a distanza. È previsto il consenso degli 
interessati per l'invio di messaggi con sistemi automatizzati (SMS, e-mail). 




verrà il primo giudice ebreo della Corte Suprema, 
sente il problema delle minoranze e legge la priva- 
cy nel senso di impedire che informazioni sul loro 
conto possano determinare discriminazioni. Un 
dato che si coglie nell'articolo 8 del nostro Statuto 
dei lavoratori, dove si vieta al datore di lavoro di 
raccogliere informazioni sulle «opinioni politiche, 
religiose o sindacali» dei lavoratori. Qui è evidente 
come l'apparenza riguardi la tutela della riservatez- 
za del lavoratore, mentre in realtà siamo di fronte a 
una norma sull'eguaglianza: ai lavoratori, infatti, si 
garantisce che non saranno discriminati quali che 
siano le loro opinioni manifestate in pubblico. La 
tutela dei dati personali diventa quindi una compo- 
nente della libertà delle persone. 

L'evoluzione della privacy 

Ecco allora il variare delle definizioni. Via via 
che variano le condizioni sociali, e la tecnologia 
interviene prepotentemente nella vita di tutti, alla 
definizione originaria si affiancano sue nuove ver- 
sioni: diritto di controllare l'uso che altri fanno di 
informazioni che mi riguardano, tutela delle scelte 
di vita contro ogni forma di controllo pubblico e di 
stigmatizzazione sociale, in un quadro caratteriz- 
zato dalla libertà delle scelte esistenziali. 

Siamo, inoltre, in presenza di un'identità «di- 
spersa», per il fatto che le informazioni riguardanti 
la stessa persona sono contenute in banche dati 
diverse, ciascuna delle quali restituisce soltanto 
una parte o un frammento dell'identità comples- 
siva. Rischiamo di entrare nel tempo dell'identità 
«inconoscibile» da parte dello stesso interessato, 
visto che è dislocata in luoghi non solo diversi, ma 
di cui è difficile o impossibile conoscere l'esistenza 




o a cui è difficile o impossibile accedere. E anco- 
ra, poiché il flusso di informazioni non riguarda 
soltanto quelle «in uscita» (di cui si vuole impedire 
la conoscenza da parte di terzi), ma anche quelle 
«in entrata» (rispetto a cui si può voler esercitare il 
«diritto di non sapere»), la privacy si presenta an- 
che come il diritto di mantenere il controllo sulle 
proprie informazioni e di determinare le modalità 
di costruzione della propria sfera privata. E, consi- 
derando gli aspetti «relazionali» della privacy, essa 
si presenta come rivendicazione di limiti a difesa 
del diritto di ognuno a non essere semplificato, 
oggettivato e valutato fuori contesto. 

Queste non sono definizioni che si escludono 
reciprocamente. Concorrono a individuare una si- 



tuazione più complessa, che discende soprattutto 
dal fatto che, nella società dell'informazione e del- 
la comunicazione, l'interesse da proteggere non è 
solo quello alla riservatezza, all'opacità della sfera 
privata. Poiché, per diverse ragioni, cediamo con- 
tinuamente dati ad altri soggetti, l'interesse preva- 
lente da tutelare diviene il controllo del modo in 
cui le informazioni, ormai uscite dalla sfera priva- 
ta, vengono raccolte, conservate, diffuse da altri 
soggetti, per evitare che il loro possibile impiego 
ci arrechi danni, falsifichi la nostra personalità, 
ci sottoponga a controlli illegittimi o indesiderati. 
Dovunque siano i dati, mai devono essere fuori del 
nostro controllo. Dalla tutela della riservatezza si 
passa a quella della libertà e dell'eguaglianza e, an- 
cora più in generale, della dignità della persona. 

La privacy esce dai suoi tradizionali confini. 
Cogliendo questo ampliarsi della prospettiva, visi- 
bile soprattutto nei paesi europei, si è detto con un 
pizzico di enfasi che la privacy si avvia a diventare 
«il più fondamentale tra i diritti fondamentali». 

La tutela secondo l'Europa 

Il fatto che la nostra vita sia ormai caratterizzata 
da scambi continui di informazioni, che viviamo in 
un flusso continuo di dati, ha attribuito crescente 
importanza alla protezione dei dati, portando- 
la sempre più verso il centro del sistema politico 
istituzionale. Questa evoluzione è ben visibile nella 
Carta dei diritti fondamentali dell'Unione Europea, 
dove si opera una distinzione tra il tradizionale di- 
ritto «al rispetto della propria vita privata e familia- 
re» (articolo 7) e il «diritto alla protezione dei dati 
personali» (articolo 8), che si configura come un 
diritto fondamentale nuovo e autonomo. 



LEGISLAZIONE 
EUROPEA 

Carta dei diritti fondamentali 
dell'Unione europea 

Proclamata il 7 dicembre 2000 a Nizza 
dai presidenti del Parlamento Europeo, 
del Consiglio d'Europa e della 
Commissione Europea. Definisce diritti e 
libertà di eccezionale rilevanza garantiti 
a tutti i cittadini dell'Unione, tra cui il 
diritto alla protezione dei dati personali. 

Direttiva 2000/31/CE del 
Parlamento Europeo e del 
Consiglio d'Europa 

Conosciuta anche come «direttiva sul 
commercio elettronico», riguarda 
alcuni aspetti giuridici dei servizi 
della società dell'informazione, in 
particolare il commercio elettronico, 
nel mercato interno. 

Direttiva 2002/21 /CE del 
Parlamento Europeo e del 
Consiglio d'Europa 

Riguarda il trattamento dei dati 
personali e la tutela della vita privata 
nel settore delle comunicazioni 
elettroniche. 

Direttiva 2006/24/CE del 
Parlamento Europeo e del 
Consiglio d'Europa 

Riguarda la conservazione di dati 
generati o trattati nell'ambito della 
fornitura di servizi di comunicazione 
elettronica accessibili al pubblico o di 
reti pubbliche di comunicazione. 



La distinzione non è di facciata. Nel diritto al 
rispetto della vita privata e familiare si manifesta 
soprattutto il momento individualistico, il potere si 
esaurisce sostanzialmente nell'escludere interferen- 
ze altrui: la tutela è statica, negativa. La protezione 
dei dati, invece, fissa regole sulle modalità del trat- 
tamento dei dati, si concretizza in poteri d'interven- 
to: la tutela è dinamica, segue i dati nella loro circo- 
lazione. I poteri di controllo e d'intervento, inoltre, 
non sono attribuiti solo ai diretti interessati, ma 
sono affidati anche a un'autorità indipendente: la 
tutela non è più soltanto nelle mani dei soggetti in- 
teressati, ma coinvolge una specifica responsabilità 
pubblica. Siamo di fronte anche a una ridistribuzio- 
ne di poteri sociali e giuridici. E la nuova configu- 
razione della privacy - tra dignità, libertà ed egua- 
glianza - contribuisce in maniera determinante al 
processo di «costituzionalizzazione della persona». 

In questo modo si è consolidato un modello eu- 
ropeo della tutela della privacy, non solo distinto 
da quello del suo luogo d'origine, gli Stati Uniti, 
ma assai più forte rispetto a quello americano, per 
la qualità e l'intensità dei diritti riconosciuti. Que- 
sto modello è ben visibile nella Direttiva Europea 
del 1996 e in tutte le legislazioni nazionali che a 
essa si sono uniformate. Si concreta in norme che: 
raccordano la privacy ai diritti fondamentali della 
persona, subordinano la raccolta di dati persona- 
li da parte di privati al consenso dell'interessato, 
impongono il rispetto dei principi di necessità, 
finalità, proporzionalità, pertinenza. Nell'Unione 
Europea la tutela della privacy è affidata a leggi 
che ne disciplinano tutti gli aspetti, mentre negli 
Stati Uniti ci si affida a leggi settoriali che non si 
compongono in un quadro d'insieme, lasciando 
scoperti aspetti importanti della tutela. 

Ma, andando oltre il quadro delle regole forma- 
li, ci accorgiamo che anche in Europa viviamo in 
un tempo in cui la materia della protezione di dati 
personali è caratterizzata da forti contraddizioni, 
per non dire da una vera e propria schizofrenia 
sociale, politica, istituzionale. E sempre maggiore 
la consapevolezza della sua rilevanza non solo per 
la tutela della vita privata delle persone, ma per la 
loro stessa libertà. Ma è sempre più difficile rispet- 
tare questa sua natura, perché esigenze di sicurez- 
za interna e internazionale, interessi dei mercati, 
riorganizzazione delle pubbliche amministrazioni 
spingono verso una diminuzione delle garanzie. 

Controllo e selezione sociale 

Che cosa dobbiamo aspettarci dal futuro? La 
privacy resterà come un forte riferimento generale 
oppure è destinata a rifugiarsi in aree sempre più 
ristrette, a essere sempre in pericolo? 
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tonache di mancata tutela 



■ Alla fine di aprile l'Agenzia delle entrate ha reso disponibili sul suo sito 
le dichiarazioni dei redditi del 2005 di tutti contribuenti italiani. Il 
Garante per la privacy ha bloccato l'iniziativa perché la diffusione su 
Internet delle dichiarazioni dei redditi rende «ingovernabile la 
circolazione e l'uso di questi dati, così come la loro stessa protezione». 
Diversi mesi fa, un utente ha scoperto per caso che Apple può 
controllare a distanza gli iPhone. In agosto Steve Jobs, amministratore 
delegato dell'azienda californiana, ha ammesso la presenza di un 
programma che permette all'azienda di rimuovere software 
indesiderato dai suoi apparecchi quando vuole e a insaputa degli 
utenti. Le associazioni dei consumatori hanno protestato per il rischio 
di violazione della privacy. 



■ In luglio Francesco Cajani e Alfredo Robledo, pubblici ministeri della 
procura di Milano, hanno inviato un avviso di conclusione delle 
indagini a quattro dirigenti di Google indagati per diffamazione e per 
non aver esercitato il dovuto controllo sui dati personali. L'inchiesta 
era iniziata nel 2006, quando su Google Video era stato caricato un 
filmato in cui studenti maltrattavano un compagno di classe disabile. 

■ Circa un anno fa sono stati smarriti due dischi rigidi spediti da un 
ufficio del fisco di Londra all'Ufficio revisione dei conti del Regno Unito. 
I dischi contenevano i dati di 25 milioni di cittadini (nome, cognome, 
dati bancari, numero di assistenza sociale, data di nascita e altro 
ancora), ovvero di sette milioni di famiglie con figlio minore di 16 anni 

e aventi diritto a un assegno statale. I dischi non sono stati ritrovati. 



LA PRIVACY 
DEGLI ALTRI 

CINA 

Da qualche anno è diventata popolare 
la human search, ovvero la ricerca su 
Internet, operata da migliaia di utenti 
delle rete, di informazioni riguardanti 
una persona che avrebbe commesso 
un'azione percepita come sbagliata. 

GIAPPONE 

Tra le questioni più urgenti da 
risolvere c'è il phishing, ovvero l'uso 
illegale di comunicazioni elettroniche, 
per esempio e-mail, grazie a cui 
accedere a informazioni personali 
o riservate con la finalità del furto di 
identità. Inoltre le aziende giapponesi 
stanno rapidamente sviluppando 
nuovi usi per biometria e RFID. 

RUSSIA 

Nel 2006 ha adottato una legge che 
ha regolamentato la richiesta da parte 
delle autorità per la raccolta 
e il trattamento dei dati personali. 
Tuttavia l'FSB, erede del KGB, negli 
ultimi dieci anni ha condotto 
intercettazioni telefoniche servendosi 
del proprio sistema di controllo delle 
comunicazioni denominato SORM. 

REGNO UNITO 

Il governo britannico ha da poco 
risposto alla richiesta di chiarimenti 
da parte dell'Unione Europea su 
Phorm, un programma usato da 
aziende che forniscono accesso a 
Internet per monitorare il traffico degli 
utenti a scopo commerciale. Secondo 
il governo britannico, Phorm non viola 
le direttive europee in materia di 
privacy. L'Unione Europea, tuttavia, 
continua a indagare sull'uso di Phorm. 



Si sta determinando un'erosione di alcuni prin- 
cipi sui cui si è costruito il sistema della protezio- 
ne di dati personali, in primo luogo il principio di 
finalità e quello relativo alla separazione tra i dati 
trattati da soggetti pubblici e da soggetti privati. Si 
tende a imporre, anche con forzature istituzionali, 
il criterio della multifunzionalità. Dati raccolti per 
un determinato fine sono resi disponibili per sco- 
pi diversi, ritenuti altrettanto importanti rispetto a 
quelli che ne avevano giustificato la raccolta. Dati 
trattati da un soggetto vengono messi a disposi- 
zione di soggetti diversi. 

Prevalgono le logiche della riutilizzazione e in- 
terconnessione, quasi sempre giustificate con l'ef- 
ficienza e l'economicità. Se collega tutte le proprie 
banche dati, la pubblica amministrazione può ren- 
dere al cittadino servizi più rapidi, a costi più bassi 
e con minori fastidi per gli interessati. Se possono 
accedere anche alle informazioni raccolte da priva- 
ti, magistratura e polizia possono combattere me- 
glio terrorismo e criminalità. Se possono accedere 
a dati relativi agli accessi a Internet, l'industria mu- 
sicale e cinematografica possono scoprire con più 
facilità chi scarica illegalmente musica e film. 

Adottando queste logiche, tuttavia, non solo si 
possono contraddire principi essenziali per la pro- 
tezione dei dati, ma si rompe il patto con i cittadini 
in una materia sempre più decisiva per la tutela ef- 
fettiva delle loro libertà. A essi era stato promesso 
che i dati sarebbero stati trattati da soggetti pubbli- 
ci per finalità individuate dalla legge e da soggetti 
privati in base al consenso degli interessati, che in 
questo modo avrebbero circoscritto con precisione 
gli usi illegittimi delle informazioni raccolte. 

È evidente il rischio che le nostre società si tra- 
sformino in società della sorveglianza, controllo e 
selezione sociale mediante le crescenti possibilità 
tecnologiche di raccolta di informazioni, la con- 



nessione di banche dati e la diminuzione di garan- 
zie. Per valutare questa prospettiva, è necessario 
considerare il mutamento delle modalità di raccol- 
ta. Davanti a noi ci sono mutamenti che toccano 
l'antropologia stessa delle persone: dalla persona 
«scrutata» con videosorveglianza e tecniche bio- 
metriche si può passare a una persona «modificata» 
grazie all'inserimento di chip ed etichette «intelli- 
genti», in un contesto che sempre più nettamente 
ci individua come persone perennemente in rete, 
via via configurate in modo da emettere e ricevere 
impulsi che consentono di rintracciare e ricostruire 
movimenti, abitudini, contatti, modificando senso 
e contenuti dell'autonomia delle persone. 

In alcuni paesi, come il Regno Unito, a migliaia 
di lavoratori è stato imposto di portare un compu- 
ter che dirige, via satellite, il loro lavoro, li indirizza 
verso prodotti da prelevare, indica percorsi da se- 
guire o attività da svolgere, controlla ogni movi- 
mento del dipendente e individua in ogni momento 
dove si trova. Ma in questo modo si trasformano i 
luoghi di lavoro in battery farm, si creano le condi- 
zioni di una prison survtillance. Siamo di fronte a 
un Panopticon su scala ridotta, che anticipa e an- 
nuncia la possibilità di diffondere su scala sempre 
maggiore queste forme di sorveglianza sociale. Ma 
che cosa diventa una società in cui è normale che 
cresca il numero di persone etichettate e seguite? 

In Italia questo impiego della tecnologia è il- 
legittimo, visto che l'articolo 4 dello Statuto dei 
lavoratori vieta «l'uso di impianti audiovisivi e di 
altre apparecchiature per finalità di controllo a di- 
stanza dell'attività dei lavoratori». Ma questi appa- 
rati tecnologici si possono usare in settori diversi, 
per esempio per segnalare continuamente la situa- 
zione in cui si trova una persona anziana. Questa 
raccolta a distanza di dati personali può avere ef- 
fetti benefici. Tuttavia, se la tecnologia viene ado- 
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perata solo per ottenere economicità di gestione 
dei servizi sociali, eliminando per esempio le visite 
domiciliari, si opera una delega alla tecnologia che 
si traduce in un abbandono delle persone. 

Ma il mutamento più evidente riguarda la con- 
servazione di dati relativi a conversazioni telefoni- 
che, SMS, posta elettronica, accessi Internet. Un'at- 
tività che sta portando alla creazione di banche 
dati con miliardi di informazioni personali su tutti 
i cittadini, giustificate con le esigenze della lotta 
al terrorismo o con la logica dell'efficienza econo- 
mica. Ma bisogna essere consapevoli del profondo 
cambiamento sociale e politico che tutto questo 
produce. La sola conservazione di indirizzi di mit- 
tenti e destinatari consente di ricostruire le rela- 
zioni personali e sociali (quante volte ho chiamato 
una certa persona?), politiche e sindacali (con qua- 
li organizzazioni sono in contatto?), economiche 
(con quali imprese, agenti di borsa ho rapporti?), 
religiose (il mio interlocutore è la parrocchia, la si- 
nagoga, la moschea?). Ancora più delicata può es- 
sere la conservazione di dati riguardanti gli accessi 
a siti Internet, per la maggior eloquenza di questi 
accessi rispetto a gusti, preferenze, inclinazioni. 
Possiamo accettare questa schedatura di massa, vi 
è proporzione tra il fine indicato e lo strumento 
adoperato? Sono possibili garanzie adeguate? 
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La folla nuda e l'identità dispersa 

Il mutamento politico e sociale è profondo. La 
sorveglianza si trasferisce dall'eccezionale al quo- 
tidiano, dalle classi «pericolose» alla generalità del- 
le persone. La folla non è più solitaria e anonima: 
è nuda. Videosorveglianza, conservazione di ogni 
traccia di comunicazioni elettroniche, registrazione 
implacabile di ogni abitudine realizzano un con- 
trollo di massa, trasformando i cittadini in sospetti. 
Ci avviciniamo pericolosamente alla «sindrome del 
pesce rosso», all'«uomo di vetro», sempre visibile 
dai detentori del potere politico ed economico, con 
un rischio evidente per la libertà e la democrazia. 

Siamo, inoltre, in presenza di un'identità «di- 
spersa», per il fatto che informazioni riguardanti 
la stessa persona sono contenute in banche dati 
diverse, ciascuna delle quali restituisce soltanto 
una parte o un frammento dell'identità comples- 
siva. Rischiamo di entrare nel tempo dell'identità 
«inconoscibile» da parte dello stesso interessato, 
dislocata com'è in luoghi non solo diversi, ma di 
cui è difficile o impossibile conoscere l'esistenza o 
ai quali è difficile o impossibile l'accesso. 

Al tempo stesso, però, grazie al social networking 
si sta consolidando un bisogno di vivere in pub- 
blico, di costruire continuamente un'identità total- 
mente visibile. Ma così viene messa a disposizione 
di tutti una quantità enorme di informazioni che 
poi chiunque può raccogliere e usare per le finalità 
più diverse. Diventa quindi centrale un diverso pro- 
filo della tutela della privacy, legato alla persistenza 
in rete delle informazioni, che mette in discussione 
il «diritto all'oblio», che può essere un elemento co- 
stitutivo del libero sviluppo della personalità. 

Traghettare la privacy in questo futuro comples- 
so esige una rinnovata riflessione sul fatto che essa 
deve essere in qualche modo reinventata. È il segno 
di un pericoloso riduzionismo dire «noi siamo i no- 
stri dati». Ma è certo che, nella molteplicità dei dati 
che ci descrivono e presentano al mondo, bisogna 
individuare quelli che maggiormente ci espongono 
al rischio della discriminazione (oltre a quelli già 
ricordati, oggi in particolare i dati genetici), che 
consentono ad altri di ridurci a «profili». 

Si deve assicurare la massima trasparenza dei 
comportamenti di chi raccoglie informazioni. Si 
deve revocare la delega alla tecnologia, che produ- 
ce una bulimia nella raccolta delle informazioni che 
produce più costi che benefici. Si deve assicurare 
un aggiornamento alla mutevole realtà tecnologica 
dei principi di base. E poiché la privacy, nella sua 
accezione più ricca, si presenta ormai come con- 
giunzione tra dignità della persona e democraticità 
del sistema politico, non si deve ammettere nessu- 
na sua riduzione che mortifichi questi principi. ■ 
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SPIONAGGIO E COMUNICAZIONI 



IL SELVAGGIO MONDO DELLE 

INTERCETTAZIONI 



Le comunicazioni si spostano su Internet, e chi vuole spiarle le segue nel 
cyberspazio. Ma i metodi per effettuare intercettazioni on line potrebbero 
portare a un pericoloso allargamento dei poteri di sorveglianza dei governi 



di Whitfield Diffie e Susan Landau 



Da che mondo è mondo, se qualcuno ha 
una conversazione privata può darsi che 
qualcun altro tenti di spiarla. Quando le 
faccende importanti si discutevano nei salotti, le 
spie si appostavano dietro una tenda, e tendevano 
l'orecchio per sentire che cosa si diceva. Poi, quan- 
do le conversazioni si sono spostate sul telefono, 
sono stati messi sotto controllo i fili. E oggi che 
tante attività umane si svolgono nel cyberspazio le 
spie si sono infiltrate on line. 

A differenza delle precedenti frontiere fisiche, il 
cyberspazio è un costrutto umano. Le regole, i pro- 
getti e gli investimenti che facciamo in questo am- 
biente virtuale determineranno le future modalità 
di interazione tra spionaggio, privacy e sicurezza. 
Oggi negli Stati Uniti c'è una chiara tendenza ad 
attribuire una posizione privilegiata alle attività di 
intelligence, favorendo il potere delle autorità di 
intercettare le comunicazioni on line. 

I vantaggi di questa strategia contro crimine e 
terrorismo sono ovvi. Ma gli svantaggi sono forse 
meno scontati. In primo luogo l'aggiunta di un'in- 
frastruttura di intercettazione compromettereb- 
be la struttura agile e bottom-up (dal basso verso 
l'alto) di Internet, che si è dimostrata così favore- 
vole all'innovazione: i suoi costi porterebbero al 
fallimento molti piccoli provider e il controllo top- 
down (dall'alto in basso) minaccerebbe la leader- 
ship degli Stati Uniti nelle telecomunicazioni. 

Inoltre un'enfasi eccessiva sulla capacità di in- 
tercettare le comunicazioni on line potrebbe met- 
tere a rischio le libertà civili. Inoltre potrebbe dan- 
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neggiare la sicurezza del cyberspazio, e in ultima 
analisi quella nazionale. Se gli Stati Uniti inseris- 
sero nel loro sistema di comunicazioni un'estesa 
struttura di intercettazione, come si potrebbe ga- 
rantire che non fosse usata per scopi illeciti? Le 
agenzie federali, o per corruzione o per eccesso di 
zelo, potrebbero usarla per spiare i cittadini, vio- 
lando la Costituzione. Senza contare che qualun- 
que struttura di intercettazione potrebbe cadere 
nelle mani sbagliate; criminali, terroristi, spie di 
altri paesi potrebbero penetrare nella struttura e 
usarla per i loro scopi. 

Si tratta di questioni importanti, che merite- 
rebbero un'ampia discussione a livello nazionale. 
Sfortunatamente la possibilità di un dibattito pub- 
blico approfondito sul tema è ostacolata dalla neb- 
bia di segretezza che circonda tutte le attività di 
spionaggio, e in particolare le intercettazioni. 

Breve storia delle intercettazioni 

Per capire l'attuale dibattito sulle intercettazio- 
ni bisogna partire dalla storia della tecnologia del- 
le comunicazioni. Dall'invenzione del telefono nel 
XIX secolo fino a dieci o vent'anni fa le comuni- 
cazioni vocali remote passavano quasi esclusi- 
vamente su sistemi a circuiti commutati. Quando 
una persona sollevava il ricevitore per chiamar- 
ne un'altra, uno o più commutatori telefonici lun- 
go il percorso collegavano i loro cavi in modo da 
formare un circuito continuo. Il circuito rimaneva 
chiuso durante tutta la conversazione, conclusa la 
quale i commutatori disconnettevano i cavi, libe- 
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Le operazioni di intelligence 
si sono sempre evolute di 
pari passo con lo sviluppo 
delle tecnologie di 
comunicazione, e oggi si 
confrontano con l'avvento 
dei sistemi telefonici basati 
sul computer e Internet. 

Negli Stati Uniti, le agenzie 
federali vogliono che i 
provider Internet si 
adeguino alle stesse norme 
in materia di intercettazioni 
che si applicano ai gestori 
delle telecomunicazioni. 

Questa proposta, tuttavia, 
da un lato può frenare 
rinnovazione, e dall'altro 
espone sia al rischiodi 
abusi da parte di funzionari 
governativi troppo zelanti, 
sia a quello di infiltrazioni di 
terroristi e di servizi segreti 
di paesi ostili. 
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rando le risorse necessarie per gestire altre chiama- 
te. I commutatori, in sostanza, non facevano altro 
che trasferire le chiamate. Gli altri servizi telefoni- 
ci, come l'inoltro della chiamata e la registrazione 
di messaggi, erano eseguiti da operatori umani. 

Negli Stati Uniti le intercettazioni telefoniche 
hanno avuto uno status legale altalenante. I pri- 
missimi strumenti di intercettazione erano sem- 
plici fili aggiuntivi, collegati alla linea che andava 
dalla sede della compagnia telefonica all'abbona- 
to, che portavano il segnale verso un paio di cuf- 
fie e un registratore. In seguito si passò a installa- 
re delle microspie, le famose «cimici», direttamente 
nelle centraline, sui quadri che contenevano i ca- 
vi in ingresso. 

Inizialmente i tribunali ritennero che installa- 
re una microspia non fosse come una perquisizio- 
ne perché non comportava violazioni di domici- 
lio, ma col tempo il punto di vista si modificò. Nel 
1967, nel caso Katz contro gli Stati Uniti, la Corte 
Suprema stabilì che l'intercettazione di comunica- 
zioni è di fatto una perquisizione, e, in quanto ta- 
le, richiede un mandato. Questa sentenza spinse il 
Congresso ad approvare, nel 1968, una legge che 
disciplinava i mandati di intercettazione telefonica 
nelle indagini criminali. Tuttavia il provvedimento 
lasciò in un limbo legale l'uso delle intercettazioni 
nelle attività di intelligence verso potenze stranie- 
re. Le indagini del Congresso sul caso Watergate 
del 1972 svelarono una storia di operazioni presi- 
denziali che avevano usato e, come si scoprì, abu- 
sato, delle intercettazioni, spiando sia pacifiche or- 
ganizzazioni politiche nazionali sia organizzazioni 
straniere ostili. Così nel 1978 il Congresso approvò 
il Foreign Intelligence Surveillance Act (FISA), 
che conteneva il controverso provvedimento di 
costituire una corte federale segreta con il com- 
pito di emettere mandati di intercettazione. 

Gran parte delle operazioni di sorveglian- 
za delle comunicazioni a scopo di spionaggio 
non rientrava nell'ambito disciplinato dalla leg- 
ge sulle intercettazioni telefoniche, perché com- 
portava l'intercettazione di segnali radio più che 
intrusioni fìsiche nei sistemi di telefonia. (Quan- 
do operavano in altri paesi, i servizi di intelligence 
americani non potevano piazzare microspie sulle 
linee telefoniche con la stessa facilità con cui lo 
facevano negli Stati Uniti). Un'altra importante di- 
stinzione tra la sorveglianza sulle comunicazioni 
nazionali e straniere è la dimensione: sul territorio 
nazionale, le intercettazioni telefoniche sono sta- 
te tradizionalmente considerate una tecnica inve- 
stigativa estrema, a cui ricorrere soltanto in caso di 
crimini molto gravi. Fuori del paese, invece, l'in- 
tercettazione delle comunicazioni è una faccenda 
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Come si fa 
a garantire 
che i sistemi di 
intercettazione 
non saranno 
usati per fini 
illeciti? 



su vasta scala. La National Security Agency (NSA) 
spende miliardi di dollari all'anno per intercettare 
comunicazioni straniere da basi terrestri, basi na- 
vali, aeroplani e satelliti. 

Ma le differenze più importanti sono procedu- 
rali. All'interno degli Stati Uniti il quarto emenda- 
mento della Costituzione garantisce ai cittadini il 
diritto di essere liberi da «perquisizioni e sequestri 
irragionevoli». Il senso di una perquisizione «ra- 
gionevole» è che le forze dell'ordine devono effet- 
tuare prima un'osservazione non privilegiata (cioè 
che non invade della privacy del sospettato), i cui 
risultati forniscano una «causa probabile» con la 
quale richiedere al tribunale un mandato di per- 
quisizione. Quel che non sono autorizzati a fare, 
sia per quanto riguarda le perquisizioni fisiche sia 
per le microspie, è perquisire prima e poi usare ciò 
che hanno scoperto come prova che la perquisizio- 
ne era legittima. Questa procedura, tuttavia, è esat- 
tamente quella seguita dagli agenti dell'intelligen- 
ce, che però di norma non usano i loro risultati per 
perseguire i criminali. Un agente dell'intelligence 
si affida al giudizio professionale e alle informa- 
zioni disponibili per decidere se spiare un obietti- 
vo straniero; l'operazione sarà quindi giudicata un 
successo o un fallimento a seconda del tipo di in- 
formazione ottenuta e delle risorse impiegate. 

Le regole stabilite dal FISA operano tre distin- 
zioni fondamentali: tra «persone statunitensi» (cit- 
tadini, residenti legali e società statunitensi) e stra- 
nieri; tra comunicazioni all'interno e all'esterno 
degli Stati Uniti; e tra comunicazioni con e sen- 
za fili. In sintesi, le comunicazioni via cavo che si 
svolgano interamente all'interno degli Stati Uni- 
ti sono protette: la loro intercettazione richiede un 
mandato. Ma le comunicazioni radio che coinvol- 



gono persone al di fuori del paese sono protette so- 
lo se il segnale è intercettato negli Stati Uniti e se 
l'obiettivo è una «persona statunitense» nota e spe- 
cifica, e che si trova in quel momento nel paese. 

Fino a poco tempo fa, nei casi in cui si applica- 
vano le norme FISA, queste imponevano un one- 
re analogo a quello del diritto penale ordinario. Per 
richiedere un mandato, l'agenzia di intelligence 
doveva specificare un determinato luogo, canale 
di telecomunicazioni o persona e spiegare perché 
doveva essere sorvegliato. Operare in «stile spio- 
naggio», intercettando le comunicazioni e quindi 
usando le conversazioni registrate per giustificare 
l'intercettazione stessa, non era permesso. 

Quasi per caso, le regole fissate dal FISA con- 
tenevano un'importante lacuna, che il Congresso 
aveva inteso come temporanea: le comunicazio- 
ni radio che includevano soggetti che non erano 
persone statunitensi potevano essere intercettate 
dall'interno degli Stati Uniti senza mandato. Quan- 
do il FISA fu approvato, e per molti anni dopo, 
l'esenzione delle comunicazioni radio fu una man- 
na per la comunità dell'intelligence. Negli anni ses- 
santa e settanta i ripetitori radio satellitari aveva- 
no rivoluzionato le comunicazioni internazionali, 
trasmettendo la maggior parte delle chiamate te- 
lefoniche in ingresso e in uscita dal paese. Le co- 
municazioni radio che avvenivano parzialmente o 
totalmente tra soggetti al di fuori degli Stati Uniti 
erano quindi legalmente e fisicamente vulnerabili 
all'intercettazione da parte delle antenne NSA. 

Negli anni settanta emerse un nuovo mezzo di 
trasmissione alternativo per le comunicazioni a 
lungo raggio. Le fibre ottiche, lunghi e sottili fila- 
menti di vetro che trasportano i segnali mediante 
luce laser, offrivano grandi vantaggi nella co- 



MINIMIZZARE 

Una delle importanti differenze 
procedurali tra le intercettazioni da 
parte delle forze dell'ordine e la 
sorveglianza di intelligence consiste 
nella pratica della minimizzazione: 
evitare la raccolta di comunicazioni 
diverse da quelle che si hanno come 
obiettivo. Una linea telefonica 
sorvegliata, per esempio, potrebbe 
essere usata da diverse persone, tra 
cui alcune che non sono nel mirino 
dell'indagine. La legge degli Stati 
Uniti prevede che la polizia, quando 
ascolta una conversazione 
intercettata, la registri 
contemporaneamente, cessando la 
sorveglianza una volta che i soggetti 
smettono di discutere di attività 
criminose. Nell'intercettazione di 
intelligence invece le regole di 
minimizzazione di solito non sono 
altrettanto rigide, ma dato che i 
segnali intercettati e analizzati sono 
tantissimi, molto più traffico deve 
essere scartato in quanto irrilevante. 



municazione tra luoghi fissi. Le linee in fibra ottica 
hanno un'enorme capacità; non sono soggette al 
ritardo di un quarto di secondo tipico dei ripetito- 
ri satellitari; sono intrinsecamente più sicure della 
radio; e, per una combinazione di ragioni tecniche 
e commerciali, sono diventate molto economiche. 
Dagli anni novanta in poi la stragrande maggio- 
ranza delle comunicazioni da un luogo fisso all'al- 
tro è passata alla fibra ottica. Dato che questo tipo 
di comunicazione viaggia «via cavo», la legge de- 
gli Stati Uniti le garantisce una maggiore protezio- 
ne. Le agenzie di intelligence non potevano inter- 
cettare quelle comunicazioni con la stessa libertà 
del traffico radio, e le norme FISA iniziarono pre- 
sto a ostacolarne le attività. 

Una questione particolarmente delicata era il 
cosiddetto traffico di transito. Circa il 20 per cento 
delle comunicazioni che passano nelle reti statuni- 
tensi ha origine e termina al di fuori della nazione, 
muovendosi tra Europa, Asia e America Latina. Il 
traffico di transito non è un fenomeno nuovo; era 
già presente nell'era satellitare. Ma secondo le nor- 
me FISA l'intercettazione delle comunicazioni via 
fibra ottica in luoghi all'interno degli Stati Uniti ri- 
chiedeva un mandato, mandando all'aria le proce- 
dure standard degli agenti di intelligence che non 
erano abituati a cercare la probabile causa prima 
di iniziare la sorveglianza. 

Più o meno nello stesso periodo, nelle reti te- 
lefoniche statunitensi i sistemi di commutazione 
computerizzati iniziarono a sostituire i tradizionali 
commutatori elettromeccanici. Questa 
informatizzazione aprì la strada a ser- 
vizi come i sistemi automatici di inol- 
tro e di messaggeria, i quali, involonta- 
riamente ma efficacemente, aggiravano 




<p 1 970-80: la fibra ottica diventa un 
mezzo per le telecomunicazioni. 



91990-2000: 

boom di Internet, 
e conseguente 
riduzione dei costi 
delle comunicazioni. 



<? Dal 2000: 

vengono introdotti i servizi 
destinati al mercato 
di massa Voice- 
over-lnternet- A 
Protocol (VolP). 




Via via che la tecnologia delle comunicazioni 
vocali avanzava, negli Stati Uniti la 
sorveglianza da parte delle forze dell'ordine 
e dei servizi di intelligence ha sollevato molte 
questioni legali. 
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gli Stati Uniti, la Corte 
Suprema stabilisce che 
l'intercettazione delle 
comunicazioni 
richiede un 
mandato. 



che disciplinai 
mandati di 
intercettazione nelle 
indagini penali. 
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1978: il Foreign 
Intelligence 
Surveillance Act 
(FISA) istituisce un 
tribunale federale 
segreto con la 
funzione di 
emettere mandati 
di intercettazione 
nei casi relativi alla 



.1994: 

I Congresso approva il 
Communications 
Assistance for Law 
EnforcementAct(CALEA), 
che prevede che le 
compagnie possano 
installare dispositivi di 
sicurezza nazionale, intercettazione più efficaci. 




2004: 

l'FBI propone 
l'estensione delle 
norme del CALEA 
ai servizi VoiP. 



A 2007: 

I Congresso 
modifica 
FISA per 
consentire al 
governo di 
monitorare più 
comunicazioni 
senza un 
mandato. 



)2008: 

I Presidente 
George W. Bush 
firma una direttiva 
sulla sicurezza 
nazionale che 
ampliala 
sorveglianza del 
traffico Internet 
da e verso il governo 
americano. 
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le tradizionali tecniche di intercettazione. Suppo- 
niamo che una persona che chiama un telefono 
sotto controllo lasci un messaggio a una segreteria 
automatica fornita dalla società telefonica. Se l'in- 
dagato ascoltasse i messaggi da un telefono diver- 
so dal proprio, la comunicazione non passerebbe 
mai sulla linea controllata, e quindi non sarebbe 
intercettata. 



Il Congresso rispose nel 1994 con il Com- 
munications Assistance for Law Enforcement Act 
(CALEA), che impone alle società di telecomuni- 
cazioni di far sì che il governo possa mettere sotto 
controllo tutte le comunicazioni di un determinato 
abbonato, a prescindere da quali servizi automati- 
ci usa. Oltre ad autorizzare un miglioramento nella 
qualità delle informazioni che possono essere otte- 



Allora e oggi: la sorveglianza si complica 



Negli ultimi anni il controllo delle comunicazioni vocali è diventato sempre più complesso dal punto di vista tecnico, e può richiedere l'effettuazione di 
più intercettazioni simultanee. 



Sistemi di intercettazione tradizionali 

All'epoca dei telefoni a circuiti 
commutati bastava controllare la linea 
tra l'abitazione del sospettato 
e il centralino. Le agenzie di 
intelligence potevano 
facilmente intercettare le 
chiamate internazionali 
veicolate dai satelliti. 




Intercettazione 
di intelligence 



Intercettazione di linee terrestri 



Nuovi metodi 

Dopo l'introduzione dei commutatori 
computerizzati, gli agenti governativi hanno 
dovuto controllare anche i sistemi di 
segreteria e i servizi di inoltro chiamata 
usati dai sospettati. E monitorare le 
comunicazioni vocali via Internet 
richiederà un sistema di 
intercettazione ancora 
più complesso. 



Sede della società 
telefonica 

i— Centralina 

computerizzata 



Casa del 
sospettato 
(che è 
assente) 




Reti telefoniche computerizzate 



Intercettazione delle comunicazioni via Internet 



nute dalle intercettazioni, il CALEA costrinse i ge- 
stori di telecomunicazioni a fare in modo di po- 
ter eseguire molte più intercettazioni simultanee di 
quanto era stato possibile in precedenza. 

Sorvegliare la Rete 

Il CALEA fu approvato nello stesso momento in 
cui una massa crescente di persone iniziava a usare 
Internet, che si serve di un metodo di comunicazio- 
ne completamente diverso dalla telefonia a circuiti 
commutati. Gli utenti Internet inviano informazio- 
ni in «pacchetti», ciascuno dei quali contiene l'in- 
dirizzo del destinatario e quel del mittente, proprio 
come una lettera spedita per posta. Con i circuiti 
commutati, una telefonata breve ha gli stessi co- 
sti di avvio di una lunga, per cui fare una chiamata 
breve è antieconomico. Ma su una rete a pacchetti, 
più i messaggi sono brevi e meno costano. La na- 
vigazione sul Web è possibile perché le connessioni 
Internet possono essere usate brevemente e poi ab- 
bandonate. Ogni volta che clicchiamo su un link, 
stabiliamo una nuova connessione. 

Nell'era delle comunicazioni a circuiti commu- 
tati, le intercettazioni telefoniche funzionavano 
perché apparecchi telefonici, numeri e utenti era- 
no strettamente legati tra loro. Spostare un tele- 
fono oppure ottenere un nuovo numero telefoni- 
co era difficile. I messaggi di un'organizzazione si 
muovevano sugli stessi canali per lunghi periodi, 
così era facile intercettarli ripetutamente. La com- 
mutazione informatizzata e Internet hanno reso 
molto più ardua la sorveglianza. Oggi si possono 
ottenere con facilità nuovi numeri telefonici, oltre 
che indirizzi e-mail, account per i servizi di instant 
messaging e così via. E l'avvento del protocol- 
lo VoIP [Voice over Internet Protocol], lo standard 
che permette la trasmissione di comunicazioni vo- 
cali su reti a pacchetti commutati, ha decentraliz- 
zato ulteriormente il controllo dell'infrastruttura 
comunicativa. In un sistema VoIP come il popolare 
servizio Skype, per esempio, la configurazione del- 
le chiamate telefoniche e la trasmissione del traffi- 
co sono completamente indipendenti. 

Se il CALEA, interpretandolo alla lettera, fos- 
se applicato ai servizi VoIP decentralizzati, il go- 
verno potrebbe chiedere al provider di intercetta- 
re le chiamate dei clienti che vuole controllare e di 
trasmettergliele, ma il provider potrebbe non esse- 
re in grado di farlo. Prendiamo il caso una tipica 
chiamata VoIP che si svolga tra i computer porta- 
tili di due persone che stiano entrambe viaggian- 
do. Alice inizia la chiamata da una sala d'attesa 
dell'aeroporto di Chicago, e Bruno la riceve al bar 
di un hotel a San Francisco. Il ruolo del provider 
VoIP in questo processo è limitato: scopre gli indi- 



I nuovi servizi 

telefonici 

automatici 

aggirano 

efficacemente 

le tecniche di 

intercettazione 

tradizionali 
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: IE è l'inventore del 
concetto di crittografia public key. 
Negli anni novanta si è dedicato alla 
politica pubblica e ha avuto un ruolo 
di primo piano nell'opposizione alle 
proposte di keyescrow (sistema di 
deposito di chiavi private) da parte 
del governo e alle norme restrittive 
sull'esportazione di prodotti che 
includevano la crittografia. Oggi è 
responsabile delle sicurezza alla 
Sun Microsystems e studia l'impatto 
dei servizi web e del grid computing 
sulla sicurezza e sull'intelligence. 
SUSAN LANDAU è ingegnere ai Sun 
Microsystems Laboratories, 
dove si occupa di sicurezza, 
crittografia e politiche, tra cui 
questioni di sorveglianza e gestione 
di diritti digitali. 



rizzi IP mediante i quali Alice e Bruno sono con- 
nessi e comunica l'indirizzo di ciascuna persona al 
computer dell'altra. Una volta che la configurazio- 
ne è completa, il provider VoIP non ha altro ruolo; 
l'effettiva conversazione vocale è invece supporta- 
ta dai provider di servizi Internet (ISP) che Alice e 
Bruno usano per accedere alla rete, e dagli altri ge- 
stori a cui sono collegati quegli ISP. 

Un'agenzia governativa sarebbe quindi costretta 
a notificare più mandati a più gestori solo per con- 
trollare un singolo obiettivo. Immaginiamo un re- 
gime di intercettazione in stile CALEA che riesca 
a catturare una chiamata VoIP. Deve iniziare con 
un ordine al provider VoIP che abbia come obiet- 
tivo Alice o Bruno. Quando gli agenti sono infor- 
mati dal provider che l'obiettivo è impegnato in 
una chiamata, devono vedere gli indirizzi IP di Ali- 
ce e Bruno e inviare un mandato di intercettazione 
a uno o più ISP presso cui la chiamata può essere 
intercettata. Gli ISP devono essere pronti ad accet- 
tare, autenticare e rendere esecutivo il mandato in 
tempo reale. Inoltre in questo scenario soltanto i 
provider Internet negli Stati Uniti (e forse nei paesi 
cooperanti) avrebbero l'obbligo di onorare il man- 
dato. Una difficoltà ancora più seria è il massiccio 
problema di sicurezza che comporterebbe un accor- 
do del genere. Chiunque riuscisse a penetrare nella 
funzione di intercettazione dell'ISP, sarebbe in gra- 
do di spiarne a piacimento tutti gli abbonati. 

Il CALEA ha riconosciuto la differenza tra te- 
lefonia tradizionale e Internet, a cui si riferisce 
come «servizi informatici», esentandola dalle di- 
sposizioni della nuova legge. Tuttavia nel 2004 il 
Dipartimento di Giustizia, il Federai Bureau of In- 
vestigation e la Drug Enforcement Administration 
degli Stati Uniti hanno proposto che i provider 
di accesso Internet a banda larga siano tenuti a 
conformarsi ai requisiti CALEA. Finora la Federai 
Communications Commission e i tribunali hanno 
sostenuto l'applicazione della legge, estendendo il 
CALEA al «VoIP interconnesso» (la forma più vi- 
cina alla telefonia tradizionale), in base a una di- 
sposizione della normativa che si riferisce a servi- 
zi che sono «un sostanziale surrogato del sistema 
telefonico». 

Se fosse adottata, la proposta costituirebbe il 
primo passo su una strada che conduce a perico- 
li ignoti nelle intercettazioni tradizionali. In par- 
ticolare l'azione del governo statunitense minac- 
cia l'ulteriore crescita di Internet, che è divenuta 
un crogiolo di innovazione proprio grazie al suo 
controllo distribuito e alla sua ampia connettivi- 
tà. A differenza della rete di un gestore telefonico, 
Internet non è progettata e gestita in modo cen- 
tralizzato. Nella telefonia l'aggiunta di un nuovo 
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Dal cyberterrorismo alle cyberguerre: l'escalation dei conflitti informatici 



Nei primi tempi dell'esistenza di Internet, gli 
ottimisti profetizzarono che la diffusione 
della Rete avrebbe fatto fiorire un'era di pace e 
prosperità senza precedenti nella storia 
dell'umanità. Può darsi che in un futuro avvenga 
davvero, ma per il momento Internet si sta 
dimostrando uno strumento utile ed efficace 
anche per criminali e terroristi. Oltre al 
crescente numero di ladri e truffatori sparsi un 
po' ovunque nel mondo che danno la caccia al 
nostro denaro on line, sempre più soggetti - 
Stati e non - stanno aggiungendo «armamenti» 
Internet ai loro arsenali tradizionali, e sono 
pronti a scatenarli in vere e proprie cyberguerre. 

Un assaggio dei problemi futuri si ebbe nel 
1983, quando Kevin Mitnick, diventato poi 
un'icona della pirateria on line, riuscì a 
penetrare nei computer del Pentagono. Sempre 
negli anni ottanta vi furono i primi casi di 
attacchi che andavano al di là dell'intrusione, 
con l'uso di virus e altri tipi di software dannosi 
come forma di protesta. Un caso esemplare 
risale al 1989, quando la rete informatica della 
NASA fu infettata con il «verme» (un virus in 
grado di autoreplicarsi) WANK (Worms Against 
Nuclear Killers) per protesta contro il lancio 
della sonda Galileo, che era dotata di un 
generatore di energia alimentato da plutonio 
radioattivo. L'obiettivo degli antinuclearisti, cioè 
impedire il lancio, fallì, ma per eliminare WANK 
da tutti i computer della NASA ci volle oltre un 
mese, per un costo stimato di mezzo milione di 
dollari in tempo e risorse sprecati. 

L'introduzione del Web negli anni novanta ha 
portato nuove forme di protesta digitale, come il 
defacing, un atto di vandalismo in cui le pagine 
di un sito sono sostituite o cancellate con 
messaggi politici o di protesta, e gli attacchi 
denial-of-service (DoS), in cui un sito è inondato 
di richieste di accesso o di e-mail fino a 
generare un volume di traffico tale da bloccarlo. 
Negli anni, la diffusione sempre più ampia di 
Internet e l'uso sempre più pervasivo dei 
network informatici hanno reso queste forme di 
attacco più frequenti e dannose, e la figura 
quasi romantica dell'hacker come pirata 
informatico solitario che combatte potenti 
strutture governative o multinazionali si è 
trasformata in gruppi anche numerosi, che da 




un lato hanno scelto la strada della criminalità 
senza paraventi ideologici, dall'altro sono scesi 
sul terreno dei conflitti politici internazionali. 

Molti cyberattacchi sono opera di «patrioti» che, 
pur non essendo alle dipendenze dei governi 
nazionali, agiscono per «difendere» i loro paesi. 
In questo senso si sono dimostrati 
particolarmente attivi gli hacker cinesi, che 
hanno spesso vandalizzato siti web di Taiwan, 
giapponesi o statunitensi. Cyberattacchi contro 
gli Stati Uniti si sono avuti, per esempio, come 
reazione al bombardamento dell'ambasciata 
cinese a Belgrado nel 1999, durante la guerra 
del Kosovo. Nel 2001 , dopo la collisione tra un 
aereo spia della US Air Force e un caccia cinese, 
gli attacchi informatici partirono invece da 
entrambe le nazioni coinvolte. Si valuta che nei 
giorni successivi all'incidente siano stati più di 
300 i siti colpiti in Cina, mentre negli Stati Uniti 
furono vandalizzati, tra gli altri, i siti del 
Dipartimento del Lavoro, del Dipartimento della 
Salute e del capo dei servizi sanitari. 

Gli hacker dell'ex Unione Sovietica, ritenuti tra i 
migliori del mondo, per molto tempo si sono 
dedicati a obiettivi non politici: nel febbraio 
2007, per esempio, oltre 1 0.000 siti di gioco on 
line hanno subito l'attacco concertato di un 
migliaio di computer sparsi tra Russia, 
Uzbekistan e Bielorussia. Nell'aprile dello stesso 



anno, però, dopo la rimozione di un monumento 
dell'era sovietica da una piazza di Tallinn, 
l'infrastruttura elettronica dell'Estonia - tra cui 
siti delle principali banche, giornali ed enti 
governativi - è stata oggetto di un massiccio 
attacco da parte di una botnet, una rete di 
computer infettati e «schiavizzati», che si è 
protratto per oltre due settimane provocando 
seri danni all'economia del paese baltico. 

Pirati informatici hanno anche fiancheggiato 
gruppi terroristici, tra cui al Qaeda. Dopo 
l'invasione dell'Afghanistan da parte degli Stati 
Uniti, alla fine del 2001 un gruppo di hacker 
pakistani detto «al Qaeda Alliance On Line» 
cominciò a vandalizzare siti del governo 
statunitense con messaggi che inneggiavano a 
Osama bin Laden e condannavano l'invasione. 
Quel gruppo è scomparso, ma altri ne hanno 
preso il posto, lanciando cyberattacchi contro 
siti degli Stati Uniti e di altri paesi occidentali 
dopo eventi come l'inizio della guerra in Iraq, la 
pubblicazione delle vignette di satira su 
Maometto in Danimarca e le denunce sul 
trattamento dei prigionieri nella base di 
Guantanamo. Questa jihad elettronica è 
promossa da forum jihadisti on line, che 
coordinano gli attacchi e distribuiscono le 
informazioni e gli strumenti software per 
effettuarli. Nessuno di questi attacchi finora è 
stato abbastanza grave da meritare l'etichetta 



di cyberterrorismo, ma il potenziale per causare 
notevoli danni a infrastrutture critiche, come le 
reti di distribuzione del petrolio e del gas, esiste. 

Benché gran parte degli attacchi informatici 
legati a conflitti internazionali che si verificano 
oggi sembrino opera di soggetti privati, anche 
qualche governo è stato accusato di essere 
coinvolto, o appoggiandoli direttamente o 
almeno chiudendo un occhio. Molti sospetti 
vanno verso la Cina: secondo gli analisti, gli 
attacchi degli hacker cinesi, che spesso sono 
rivolti contro obiettivi del Dipartimento 
statunitense della Difesa, superano di gran 
lunga tutti gli altri per volume, perizia e livello 
di sofisticazione. Ma non c'è solo la Cina. 
La responsabilità di Mosca nell'aggressione 
all'Estonia (ormai nota come Estonian Cyberwar) 
non è mai stata dimostrata, ma le autorità estoni 
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accusarono immediatamente il Cremlino, 
e gli esperti ritengono che gli attacchi non 
avrebbero potuto essere condotti senza qualche 
forma di consenso del governo russo. Altri 
attacchi attribuiti ad hacker russi, e in cui si 
sospetta un coinvolgimento del governo 
di Mosca, sono avvenuti lo scorso agosto 
durante il conflitto tra Georgia e Russia, e hanno 
colpito, oltre a server georgiani, anche siti 
dell'Azerbaigian. 

Pochi mesi dopo la Estonian Cyberwar, 
i ministri della difesa della NATO hanno emesso 
un comunicato congiunto che prometteva azioni 
immediate in materia, e il tema degli attacchi 
informatici fu ripreso in un successivo incontro 
tra il presidente estone e George W. Bush. 
La conseguenza è stata la creazione del Cyber 
Defence Center of Excellence, operativo da 
quest'anno a Tallinn, un centro NATO di ricerca e 
addestramento per la difesa e il contrattacco 
informatico realizzato in cooperazione da 
Germania, Italia, Spagna, Lettonia, Lituania, 
Slovacchia ed Estonia. 

Qualunque sia il grado di coinvolgimento attuale 
dei singoli governi nei cyberattacchi, oggi tutte 
le principali potenze stanno sviluppando proprie 
capacità di combattimento nel cyberspazio, 
in termini sia di difesa sia di attacco, anche 
se i dettagli dei piani di sviluppo sono tenuti 
strettamente segreti. E al di là dei governi 
gli esperti ritengono che ormai ogni conflitto 
tra Stati, comprese eventi bellici minori, 
potrebbe essere accompagnato da qualche 
forma di attacco informatico. 

Un lato positivo, in ogni caso, c'è. Una 
cyberguerra produce assai meno vittime di un 
conflitto convenzionale, e i danni che provoca si 
riparano più velocemente. Invece di bombardare 
un centro di comunicazioni uccidendo chiunque 
si trovi nell'area, un cyberattacco può 
interrompere i collegamenti con il campo di 
battaglia senza che sia sparsa una sola goccia 
di sangue. E benché un'azione di pirateria 
informatica contro obiettivi critici come una 
centrale elettrica possa comunque finire per 
causare delle vittime, le armi «fisiche» sono 
ancora molto più letali di quelle virtuali, almeno 
nel breve periodo. 
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servizio, come l'inoltro di chiamate, richiede anni 
di ricerca e sviluppo. Ma su Internet si può avvia- 
re una nuova impresa in un garage o in un mono- 
locale, usando solo un computer e una connessio- 
ne a banda larga. Se il governo riuscisse a imporre 
i servizi di intercettazione a tutti i gestori Internet, 
l'intero settore sarebbe respinto nell'alveo delle te- 
lecomunicazioni tradizionali. Per garantire ampie 
capacità di sorveglianza, i nuovi servizi Internet 
dovrebbero seguire lunghi cicli di sviluppo assog- 
gettati all'approvazione federale. In un secolo in 
cui le opportunità maggiori sono legate ai servi- 
zi di informazione, bisogna fare tutto il possibile 
per promuovere l'innovazione, non reprimerla. Nel 
lungo termine, un simile esito metterebbe in peri- 
colo la sicurezza nazionale. 

C'è poi una minaccia più immediata. Dopo il 
crollo dell'Unione Sovietica, nessuno è più stato in 
grado di spiare le comunicazioni statunitensi av- 
vicinandosi a una copertura completa. I sovieti- 
ci avevano flotte di pescherecci che controllavano 
entrambe le coste degli Stati Uniti, rappresentan- 
ze diplomatiche nelle maggiori città, satelliti in 
cielo e basi a terra come quella di Lourdes, vicino 
all'Havana. In confronto, né i più temibili avversa- 
ri attuali, come al-Qaida né grandi nazioni come la 
Cina hanno nulla del genere. Tuttavia stanno cer- 
cando di arrivarci, e collocare sistemi di intercetta- 
zione su Internet potrebbe aiutarli a raggiungere lo 
scopo. I dispositivi di intercettazione sarebbero co- 
mandati da computer, a loro volta soggetti a con- 
trollo remoto. Sistemi del genere sarebbero vulne- 
rabili quanto i siti web e i personal computer. Le 
politiche di intercettazione proposte devono essere 
valutate alla luce di questi estesi e incerti pericoli. 

Cyberguerre 

Di recente l'Amministrazione Bush ha allentato 
alcune delle restrizioni previste dal FISA sul moni- 
toraggio delle comunicazioni. Nel 2007 il Congres- 
so, in seguito a forti pressioni da parte della Casa 
Bianca, ha approvato il Protect America Act (PAA), 
che modificava il FISA ampliando l'esenzione ra- 
dio in modo da coprire tutte le comunicazioni. La 
legge stabiliva che qualsiasi comunicazione che 
si ritenga ragionevolmente avere un partecipante 
al di fuori degli Stati Uniti può essere intercetta- 
ta senza bisogno di mandato. Data l'ampiezza con 
cui i servizi d'affari degli Stati Uniti sono affida- 
ti a soggetti terzi all'estero, la nuova legge rendeva 
suscettibile di sorveglianza una parte considerevo- 
le dell'attività di telecomunicazione commerciale 
e personale americana. Il Congresso è stato abba- 
stanza innervosito da questa linea di condotta da 
disporre la scadenza del PAA nel 2008. 
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I confini della privacy 



Il Foreign Intelligence Surveillance 
Act (FISA), modificato quest'anno, 
disciplina in dettaglio quali 
comunicazioni sono legalmente 
protette e quali possono essere 
monitorate senza un mandato. 



^. Persona USA (cittadino, residente 
w legale o azienda statunitense) 

vJ Persona non USA 

™ Via cavo {linea piena) 

■• Senza fili {tratteggiò) 

~ Comunicazione protetta 
(l'intercettazione richiede 
un mandato) 

™ Comunicazione non protetta 
(può essere intercettata senza 
un mandato) 



Tutte le comunicazioni che 
si svolgono all'interno degli 
Stati Uniti sono protette. 



Tuttavia, alcune 
comunicazioni tra soggetti 
negli Stati Uniti potrebbero 
non essere protette se la 
loro origine è al di fuori del 
territorio nazionale. 



Le comunicazioni senza fili tra gli Stati 
Uniti e un paese straniero sono protette 
solo se l'intercettazione avviene 
all'interno degli Stati Uniti e l'obiettivo 
è una specifica persona USA 
(all'interno o all'esterno del paese)*. 




Recenti emendamenti al FISA stabiliscono che il traffico 
via cavo in transito attraverso gli Stati Uniti non è protetto. 



Dopo gli emendamenti al FISA, le 
stesse norme che disciplinano le 
comunicazioni internazionali senza 
fili si applicano ora alle 
comunicazioni via cavo tra gli Stati 
Uniti e un paese straniero.* 



*Per intercettazioni «di massa» di comunicazioni 
internazionali (come le chiamate tra specifiche città 
in cui ricorrono particolari parole) la nuova legge 
sostituisce la richiesta di mandato con l'approvazione 
del piano di sorveglianza da parte del tribunale FISA; 
questa non può però essere una scorciatoia per 
intercettare obiettivi statunitensi. 



Per gli esseri 
umani 
comunicare 
è essenziale; 
la privacy della 
comunicazione 
è fondamentale 
sia per la 
sicurezza 
nazionale 
sia per la 
democrazia 



Lo scorso luglio, dopo mesi di discussioni, il 
Congresso ha approvato un disegno di legge che in 
sostanza allarga il potere di intercettazione e ridu- 
ce il ruolo del tribunale della FISA nei casi interna- 
zionali alla valutazione delle procedure generali di 
un'intercettazione proposta, piuttosto che dei det- 
tagli del caso. Il dibattito politico sul disegno, tut- 
tavia, non si è incentrato sul potere di intercetta- 
zione, come ci si poteva aspettare per una modifica 
così radicale, ma sul concedere o meno l'immunità 
retroattiva per intercettazioni illegali passate. 

Nei primi mesi del 2008 la Casa Bianca ha pro- 
posto una nuova giustificazione per l'ampliamen- 
to della sorveglianza sulle comunicazioni: rendere 
Internet sicura. L'attuale stato della sicurezza di In- 
ternet è effettivamente molto precario. La maggior 
parte dei computer non è in grado di protegger- 
si dalla penetrazione da parte di malwarc (softwa- 
re progettati per infiltrarsi nei sistemi informatici e 
danneggiarli) e una quota importante dei compu- 
ter collegati a Internet è sotto il controllo di sog- 
getti diversi dai proprietari. Si tratta di macchine 
«infettate» in modo da poter essere controllate in 
remoto, e organizzate in botnet, reti di computer 
infetti il cui potere di calcolo è quindi rivenduto in 
una sorta di «tratta degli schiavi» elettronica. 

In seguito al fallimento degli approcci difensi- 
vi classici, a gennaio il presidente Bush ha firmato 
una direttiva sulla sicurezza nazionale che autoriz- 
za una Cyber Initiative. Gran parte dell'iniziativa è 
segreta, ma la sua prima mossa (sorveglianza estesa 
della notevole quantità di traffico Internet da e ver- 
so il governo americano) ha una portata troppo va- 
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sta per essere nascosta. Per facilitare la sorveglian- 
za, la Casa Bianca progetta di ridurre il numero di 
connessioni tra le agenzie governative e Internet da 
varie migliaia a meno di un centinaio, il che com- 
porta la modifica o la chiusura di migliaia di indi- 
rizzi IP. La Cyber Initiative incarna perfettamente il 
dilemma dello spionaggio dei segnali. Un sistema 
che controlli le comunicazioni federali alla ricerca 
di indizi di intrusione straniera catturerà anche tut- 
te le comunicazioni legittime che i cittadini statu- 
nitensi intrattengono con il loro governo. 

L'Amministrazione Bush sta cercando di ottene- 
re il potere di intercettare le comunicazioni con le 
stesse procedure a lungo adottate nelle operazioni 
di intelligence, vale a dire senza dover ottenere un 
mandato dal tribunale e indicare in anticipo qual è 
il soggetto di cui si intende intercettare le comuni- 
cazioni. I sostenitori di una sorveglianza più este- 
sa presentato argomentazioni fondate: non solo ci 
troviamo di fronte ad avversari che non sono legati 
a particolari nazioni e che possono muoversi facil- 
mente dentro e fuori dagli Stati Uniti, ma abbiamo 
anche un serio problema di cybersicurezza. Inter- 
net sta rapidamente diventando il mezzo principa- 
le sia per le trattative commerciali sia per le attività 
governative, oltre che il metodo di comunicazione 
preferito da moltissime persone. I problemi di sicu- 
rezza on line sono analoghi ad avere le strade pie- 
ne di rapinatori o le rotte di navigazione controlla- 
te dai pirati. In queste circostanze, non sorprende 
che il governo cerchi il modo di sorvegliare Inter- 
net, esattamente come la polizia e le forze dell'or- 
dine pattugliano strade e mari. 

www.lescienze.it 
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Ma pattugliare Internet invece di rendere sicu- 
ri i computer che la popolano potrebbe rivelarsi un 
rimedio insidioso. Gli strumenti di monitoraggio 
del governo saranno più sicuri della rete che stan- 
no cercando di proteggere? Se così non fosse, cor- 
riamo il rischio che i sistemi di sorveglianza siano 
violati, o addirittura usati contro gli Stati Uniti. I 
problemi di sicurezza che affliggono Internet pos- 
sono colpire tanto i computer che effettuano la 
sorveglianza quanto quelli che sono sorvegliati. Se 
il governo espande lo spionaggio su Internet senza 
risolvere i problemi di sicurezza informatica sotto- 
stanti, andremo incontro alla catastrofe. 

I pericoli intrinseci sono amplificati dalla segre- 
tezza che circonda queste iniziative. Una vittima 
dei recenti approcci all'intercettazione delle comu- 
nicazioni è stata quello che potremmo definire la 
«regola delle due organizzazioni». 

La sicurezza di molti sistemi di cruciale impor- 
tanza, come quelli che controllano le armi nucle- 
ari, si fonda sul requisito che le azioni decisive 
siano eseguite da due persone simultaneamente. 
Fino a poco tempo a, la legge federale stabiliva 
un approccio analogo per le intercettazioni, per- 
mettendo al governo di emettere ordini di inter- 
cettazione, ma richiedendo alle società telefoniche 
di installare le microspie. In questo modo una so- 
cietà telefonica sarebbe stata riluttante a eseguire 
un ordine di intercettazione se avesse sospettato 
che era illegale, dato che la complicità l'avrebbe 
esposta sia a essere citata in giudizio sia a dover 
rispondere civilmente dell'abuso. L'eliminazio- 
ne del ruolo delle compagnie telefoniche rimuo- 
ve un'importante tutela. Seguendo questa linea di 
condotta, potremmo creare un regime che sfugge 
completamente alla visuale del Congresso, dei tri- 
bunali e della stampa, e che forse rischia di andare 
fuori da ogni controllo. 

La distanza percorsa dal nostro mondo nel 
cyberspazio nel secolo passato è minima se la con- 
frontiamo a quella che percorrerà nel prossimo. 
Ci troviamo in una fase di costruzione del mondo 
in cui vivranno i futuri esseri umani, proprio co- 
me accadde ai primi abitanti delle città 5000 an- 
ni or sono. La comunicazione è fondamentale per 
la nostra specie; la comunicazione privata è fon- 
damentale sia per la sicurezza nazionale sia per la 
democrazia. La sfida da vincere è preservare que- 
sta privacy nel mare delle nuove tecnologie di co- 
municazione e di fronte alle gravi minacce alla si- 
curezza nazionale. Ma è essenziale operare scelte 
che tutelino al tempo stesso la privacy, la sicurezza 
nelle comunicazioni e la capacità di innovare. In 
caso contrario, ogni speranza di avere una società 
libera svanirà. ■ 
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OLTRE LE IMPRONTE 

DIGITALI 



I sistemi di sicurezza basati su caratteristiche anatomiche 

e comportamentali offrono la difesa migliore contro i furti di identità 



di Anil K. Jain e Sharath Pankanti 



IN SINTESI 



I sistemi di identificazione 
biometrici sono più difficili 
da aggirare e più facili da 
usare rispetto ai tradizionali 
sistemi basati su carte 
elettroniche o password. 

Oggi, grazie a microchip 
economici e potenti, 
questa tecnologia si sta 
sempre più diffondendo. 

Prima che i sistemi 
biometrici possano essere 
adottati a larga scala, però, 
gli sviluppatori devono 
ridurre i margini di errore. 



Molti di noi usano quotidianamente car- 
te elettroniche e password per con- 
fermare la propria identità. In questo 
contesto, però, è sufficiente perdere la carta del 
Bancomat per non riuscire più a ritirare contante. 
Se invece dimentichiamo una password rischiamo 
di vederci negato l'accesso a importanti dati per- 
sonali. Se poi una nostra carta o password finisce 
nelle mani sbagliate, quelle che dovevano essere 
misure di sicurezza possono rapidamente trasfor- 
marsi in strumenti di frode o di furto di identità. 
La biometria, ossia il riconoscimento di una perso- 
na basato su determinate caratteristiche anatomi- 
che o comportamentali, può risolvere molti di que- 
sti problemi. 

Paragonati a un Bancomat o a un codice PIN, 
i dati biometrici sono molto più difficili da falsi- 
ficare, copiare, diffondere, perdere o indovinare. 
In effetti sono l'unico strumento utile per scopri- 
re se una stessa persona ha più documenti ufficia- 
li con diversi nomi, per esempio patenti di guida o 
passaporti, e sono piuttosto semplici da usare co- 
me prova di identità. Per questi motivi negli ulti- 
mi anni i sistemi biometrici hanno guadagnato po- 
polarità. Oggi, per esempio, è possibile acquistare 
computer portatili e telefoni cellulari in grado di 
riconoscere le impronte digitali. In alcuni paesi la 
biometria è usata per garantire la sicurezza di og- 
getti come carte Bancomat e passaporti, per deter- 
minare se una persona può accedere a un edificio 
o per accertarsi che chi richiede un sussidio statale 



ne abbia davvero diritto. Al momento questi siste- 
mi sono tutt'altro che perfetti. Se però guardiamo 
ai prezzi in costante ribasso di sensori e micropro- 
cessori, è facile intuire che la diffusione di sistemi 
biometrici è destinata ad aumentare. 

A misura d'uomo 

La biometria non è una tecnologia nuova. Già 
nel 1879 Alphonse Bertillon, un ispettore della po- 
lizia francese, propose un sistema di misurazioni 
anatomiche (tra cui la lunghezza di braccia e pie- 
di) per identificare i criminali recidivi. Nei dieci an- 
ni successivi alcuni studiosi britannici scoprirono 
che le impronte delle dita di una persona hanno un 
disegno unico e non cambiano nel tempo, prepa- 
rando il terreno allo sviluppo del sistema di classi- 
ficazione di impronte digitali inaugurato nel 1896. 
Poco tempo dopo Scotland Yard iniziò a servirsi 
delle impronte digitali rilevati sui luoghi dei delitti 
per incastrare i criminali. E oggi quasi tutte le for- 
ze di polizia si basano su queste impronte per indi- 
viduare i colpevoli, risolvere casi e indagare su per- 
sone da assumere per incarichi delicati. 

In molte circostanze però le impronte digita- 
li non sono il dato più pratico da usare. Per que- 
sto motivo nei più recenti sistemi di identificazione 
sono state incorporate diverse altre caratteristiche 
fisiologiche o comportamentali, sia singolarmen- 
te sia insieme. Attualmente in campo biometrico 
si tende ad adottare sistemi automatici che siano 
estremamente veloci, precisi, facili da usare e con- 




venienti dal punto di vista economico, e che si pos- 
sano inserire nelle strutture di sicurezza già esisten- 
ti. In aggiunta alle impronte digitali, negli ultimi 
trent'anni sono stati sviluppati sistemi di identifica- 
zione basati su caratteristiche quali il volto, le ma- 
ni, la voce e l'iride (la parte colorata dell'occhio). 

I tratti usati dai sistemi biometrici devono ave- 
re due caratteristiche fondamentali: essere unici 
per ogni persona e non cambiare eccessivamente 
nel tempo. Alcuni tratti permettono una precisio- 
ne relativamente alta, mentre altri hanno maggio- 
re praticità d'uso e costi inferiori. La scelta dei da- 
ti da usare in un sistema di identificazione dipende 
quindi dagli obiettivi. Non c'è una misurazione bio- 
metrica ottimale per tutte le applicazioni. 



Consideriamo i tre tratti più usati: impronte di- 
gitali, volto e iride. Oltre ad avere applicazioni in 
campo legale, le impronte digitali sono usate in 
molti paesi per i controlli automatici alle frontie- 
re. Solo negli Stati Uniti, il programma US-VISIT 
del Department of Homeland Security, il ministe- 
ro responsabile della sicurezza interna, ha elabo- 
rato i dati di oltre 75 milioni di visitatori dalla sua 
introduzione, avvenuta nel 2004. Da un punto di 
vista commerciale uno dei maggiori vantaggi delle 
impronte digitali è il basso costo dei sensori (circa 
cinque dollari) e la facilità con cui si possono inse- 
rire in prodotti come computer portatili, cellulari e 
addirittura chiavette USB. Tuttavia i sensori hanno 
margini di errore superiori rispetto a quelli di sen- 



APRITI SESAMO. Per dare risultati 
più precisi, è probabile che i futuri 
sistemi di sicurezza verificheranno 
simultaneamente diverse 
caratteristiche biometriche. 



LA BIOMETRIA 
IN AZIONE 

■ Entro l'estate del 2009 i paesi 
membri dell'Unione Europea 
dovranno iniziare a rilasciare 
passaporti con dati biometrici. 

■ Nel Regno Unito alcune mense 
scolastiche hanno istituito 

un sistema di pagamento senza 
contanti basato sul riconoscimento 
delle impronte digitali. 

■ Recentemente un gruppo capitanato 
dalla Lockheed Martin ha vinto 

un contratto decennale con l'FBI 
del potenziale valore di un miliardo 
di dollari per sviluppare un sistema di 
identificazione basato su tecnologie 
biometriche tra cui il riconoscimento 
del volto, dell'iride e della mano. 

■ L'ufficio del personale del Comune 
di New York ha stipulato un contratto 
da 1 81 ,1 milioni di dollari con la 
Science Application International 

di San Diego per l'installazione 
di un sistema di cartellini biometrici 
in grado di riconoscere il palmo 
della mano e le dita. 

■ Il portatile Toshiba Portege M800 
viene venduto con 

un software 
di riconoscimento 
del volto e, come 
optional, un lettore 
di impronte digitali. 
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Pro e contro delle diverse misure biometriche 



La scelta delle caratteristiche biometriche da usare in un sistema di 
sicurezza dipende dall'applicazione che se ne vuole fare. I punti forti e 
quelli deboli di ciascuna delle quattro misure biometriche più diffuse 
sono riassunti nella tabella qui sotto. Per esempio, se confrontato con le 
impronte digitali il riconoscimento dell'iride fornisce una precisione 
maggiore, ma per il momento richiede sensori più grandi e più costosi, 



perciò è più difficile da incorporare in computer portatili e altre 
apparecchiature commerciali. Gli esperti concordano che in un sistema 
di autenticazione ideale sia la percentuale di false accettazioni sia quella 
di falsi rifiuti non dovrebbero superare lo 0,1 per cento. Nei test condotti 
dal National Institute of Standards and Technology, tuttavia, nessuno dei 
sistemi esaminati ha soddisfatto questo requisito. 



Tratti biometrici 




Impronte digitali 




(<0>) 



Volto 



Iride 




Voce 



Unicità 



Alta 



Bassa 



Alta 



Bassa 



Permanenza 



Alta 



Media 



Alta 



Bassa 



Facilità di rilevamento 



Media 



Alta 



Media 



Media 



Velocità ed economicità 
del sistema 



Alta 



Bassa 



Alta 



Bassa 



Disponibilità delle persone 
a sottoporsi al controllo 



Media 



Alta 



Bassa 



Alta 



Difficoltà a falsificare il tratto 



Alta 



Bassa 



Alta 



Bassa 



Percentuale di falsi negativi * 



0,4 per cento 



1,0-2,5 per cento 



1,1-1,4 per cento 



5-10 per cento 



Percentuale di falsi positivi ' 



0,1 percento 



0,1 percento 



0,1 percento 



2-5 per cento 



* I tassi di errore dipendono dall'ambiente del test, dal sensore usato e dalla composizione del gruppo esaminato rispetto alla popolazione. 



sori più costosi usati dalla polizia, perché coprono 
una porzione più piccola del polpastrello e l'imma- 
gine ottenuta ha una definizione inferiore. 

Il riconoscimento del volto sta guadagnando 
popolarità come dispositivo di sicurezza per com- 
puter e telefoni cellulari, anche perché può sfrut- 
tare la telecamera installata nella maggior parte 
di questi dispositivi. I sistemi di sicurezza basa- 
ti sul riconoscimento del volto sono piuttosto pre- 
cisi quando l'immagine è registrata in condizioni 
controllate (per esempio con il viso rivolto verso 
l'obiettivo, l'illuminazione omogenea di un am- 
biente chiuso e un'espressione neutra) ma diven- 
tano inaffidabili se l'immagine originale e quel- 
la nuova differiscono a causa di cambiamenti di 
posizione, illuminazione, espressione, età o di ac- 



cessori come occhiali e barba. Questa sensibilità ai 
cambiamenti diventa un problema soprattutto per 
la videosorveglianza, visto che difficilmente i sog- 
getti si presentano davanti alla telecamera in una 
posa predeterminata. Forse tra dieci anni la tecno- 
logia avrà fatto abbastanza progressi, permetten- 
do di effettuare riconoscimenti del volto completa- 
mente automatizzati e in tempo reale. 

Per quanto riguarda l'iride, il cui complesso di- 
segno sembra essere unico e permanente per ogni 
persona, il riconoscimento è estremamente preciso 
e veloce. Il soggetto deve solo guardare lo scanner 
per pochi secondi e l'immagine viene subito regi- 
strata e analizzata. Il riconoscimento è eseguito 
confrontando la sequenza numerica dell'individuo 
con le sequenze archiviate in una banca dati. La 
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velocità e la precisione di questa tecnologia sono 
alla base dei recenti sviluppi di sistemi di identifi- 
cazione basati sull'iride, tra cui l'Iris Recognition 
Immigration System (IRIS), adottato nel Regno 
Unito, che consente ai viaggiatori che forniscono i 
propri dati di non essere sottoposti ai normali con- 
trolli aeroportuali, evitando le code. 

Ma anche il riconoscimento dell'iride ha i suoi 
problemi. Questo metodo, per esempio, sfrutta al- 
goritmi per rappresentare sotto forma di sequen- 
ze numeriche i disegni casuali dell'iride (un essere 
umano, per quanto esperto, non sarebbe in gra- 
do di stabilire con certezza se due iridi sono iden- 
tiche). Per questo motivo i dati relativi all'iride non 
si possono usare come prova in caso di processi. 




Irilf^lWlISTB di interpretare e reimmettere nel sistema i dati bio- 
metrici di un'altra persona. E dovrebbe anche es- 
sere impossibile alterare l'hardware e il software di 
un sistema biometrico. Attacchi di questo tipo, tut- 
tavia, sono comuni per i sistemi di autenticazio- 
ne, compresi quelli basati su password o token, per 
cui le contromisure esistono già. Servendosi della 
crittografia, per esempio, è possibile impedire a un 
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di migliore qualità, e occorrerà migliorare i metodi n. 1 1 , pp. 1 yz/-i ycio, ^UL)b. Presto, infatti, grazie ai continui miglioramenti gli 

di estrazione e confronto delle caratteristiche. I si- Handbook of Biometrics Jain A K strumenti biometrici occuperanno un posto di pri- 

stemi dovranno inoltre essere a prova di sabotag- p| ynn p e r ss A. (a cura), Springer, mo piano nella lotta ai furti di identità e nei proble- 

gio: idealmente, nessuno dovrebbe essere in grado 2007. mi di sicurezza che dobbiamo affrontare. ■ 
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SISTEMI DI CONTROLLO 
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Videcocamere notturne, sensori biometrici e insetti-robot sono alcuni 
degli aggeggi high-tech che possono curiosare nei nostri spazi privati 



1 a cura di Steven Ashley 



Ausili ottici 

O MACCHINE FOTOGRAFICHE DIGITALI 
E VIDEOCAMERE dotate di potenti 
teleobiettivi consentono di distinguere i 
dettagli di una scena lontana. Un 
operatore armato di macchina fotografica 
con teleobiettivo può riuscire a leggere 
il titolo di un quotidiano (e talvolta anche 
il sottotitolo) da una distanza pari 
alla lunghezza di un campo di calcio. 

OCCHIALI PER LA VISIONE NOTTURNA o 
cannocchiali dotati di fotomoltiplicatori 
possono amplificare notevolmente la luce 
disponibile; sensori termici possono 
rilevare il calore di corpi umani e motori 
nella totale oscurità. 



Identificatori biometrici 

© LA VOCE, i lineamenti del volto, il modo 
di camminare e altri tratti distintivi 
consentono di identificare individui le cui 
caratteristiche fisiche o comportamentali 
siano state precedentemente raccolte 
in una banca dati. 

O IL SENSORE DI DNA, una delle più recenti 
apparecchiature biometriche, campiona 
il DNA lasciato, per esempio, su un 
bicchiere o sulla maniglia di una porta 
e lo confronta con un database genetico. 

IL NASO ARTIFICIALE rileva la cosiddetta 
«impronta olfattiva» di una persona, che 
viene confrontata con i dati in archivio. 



Strumenti di ascolto 

I MICROFONI DIREZIONALI, con l'aiuto di un'antenna parabolica o di un'asta direzionale lineare, 
possono intercettare conversazioni all'aperto a decine di metri di distanza. 

LE CIMICI, minuscoli microfoni nascosti dotati di radiotrasmettitore a corto raggio {nella pianta 
in vaso e nella lampada nella pagina a fronte), inviano conversazioni a un radioricevitore, 
che a sua volta le ritrasmette a una cuffia o a un registratore {per esempio all'agente qui sotto). 

I RAGGI LASER, rimbalzando contro una finestra, possono rilevare le vibrazioni del vetro 
prodotte dai suoni di una conversazione in una stanza. Un ricevitore ottico converte lo schema 
del raggio riflesso in suoni. 
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Centrale di 
sorveglianza 




AEROPLANI, velivoli senza pilota e satelliti possono 
monitorare un obiettivo dall'alto. Il satellite spia statunitense 
KH-1 1 avrebbe una risoluzione inferiore a 1 5 centimetri, 
ma sistemi di sorveglianza orbitale più evoluti e tuttora 
segreti potrebbero offrire prestazioni ancora migliori. 




Localizzazione di veicoli 

© I DISPOSITIVI GPS ricevono segnali dal 
Global Positioning System e possono 
individuare la posizione di un veicolo 
o di una persona con un margine d'errore 
di circa due metri. 

©LE TESSERE DI RISCOSSIONE AUTOMATICA 
DEL PEDAGGIO, come il Telepass, consentono 
di monitorare i veicoli quando attraversano i 
caselli autostradali. 



.® 



Marcatori 

MARKER CHIMICI disposti nell'area si fissano 
a tutti i soggetti che li toccano o li calpestano. 



Area 
sorvegliata 



Insetti robot 



PICCOLI DISPOSITIVI SPIA dotati di strumenti di 
sorveglianza e comandati a distanza potranno 
volare o camminare, un domani non troppo 
lontano, nei luoghi da tenere sotto controllo. 
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Intercettazioni 
elettroniche 

© LE INTERCETTAZIONI 
TELEFONICHE avvengono 
mediante gruppi di cavi 
collegati a una scatola 
di giunzione o a un cavo 
telefonico, che dividono 
il segnale consentendo 
di ascoltare le conversazioni 



I © LE INTERCETTAZIONI 

INFORMATICHE, esaminando 
la posta elettronica, le 
comunicazioni vocali e perfino 
le digitazioni sulla tastiera 
permettono di spiare 
le operazioni al computer. 

LO SCANNER PER CELLULARI, 
© un radioricevitore sintonizzato 
sulle frequenze di un cellulare, 
permette di ascoltare 
le telefonate senza fili. 



Analisi dei rifiuti 

©LE VECCHIE BOLLETTE del 
telefono, gli estratti conto 
delle carte di credito e i dischi 
rigidi dei computer sono fonti 
inesauribili di informazioni 
private. 




I DATI SENSIBILI DEL 

VOSTRO DNA 



L'uso sempre più frequente dei test genetici rende necessaria 
una legislazione più efficace nel prevenire eventuali discriminazioni 



di Mark A. Rothstein 



IN SINTESI 



I test genetici saranno 
sempre più usati, 
aggiungendo dati molto 
richiesti alle cartelle 
cliniche. Inoltre con la 
digitalizzazione delle 
cartelle sarà più facile 
accedere a informazioni 
sanitarie personali. 

Se fossero in grado di 
scoprire dettagli privati, le 
compagnie assicurative 
potrebbero negare la 
copertura a una persona 
affetta da una patologia 
complessa, e i datori di 
lavoro potrebbero licenziare 
o non assumere quella 
stessa persona per evitare 
un peso sull'assicurazione 
sanitaria aziendale. 

Negli Stati Uniti le leggi 
attuali offrono solamente 
una debole protezione. È 
necessaria una legislazione 
che dia al singolo maggiore 
controllo sui propri dati, 
che limiti l'accesso non 
autorizzato da parte di altri 
soggetti e punisca gli illeciti. 



nni fa se avevate una storia familiare di 
tumore al colon potevate solo aspettare e 
preoccuparvi dell'eventualità di sviluppa- 
re anche voi quel tipo di cancro. Oggi un test gene- 
tico può determinare se avete ereditato un rischio 
superiore alla media di sviluppare il tumore al co- 
lon e così potete usufruire di misure preventive. Più 
i medici sanno dei vostri geni, più saranno in gra- 
do di prevenire, trattare o curare le patologie. 

Nel 1990 l'entusiasmo generato da queste pro- 
spettive ha accompagnato l'inizio del Progetto Ge- 
noma. Ma l'eccitazione è stata subito frenata dal- 
la diffusa preoccupazione riguardo la necessità 
di proteggere la privacy genetica degli individui. 
Semplici test che potrebbero rapidamente rivela- 
re il corredo genetico di una persona potrebbero, 
altrettanto rapidamente, causare disagio o stigma 
sociale. Inoltre le assicurazioni potrebbero negare 
la copertura sanitaria o aumentare i premi da pa- 
gare, mentre un datore di lavoro a conoscenza dei 
risultati potrebbe negare un'assunzione o decide- 
re un licenziamento. Allo stesso tempo, ricercatori 
e responsabili della sanità pubblica hanno ricono- 
sciuto che il miglioramento dell'assistenza sanita- 
ria reso possibile dagli studi di genetica su grandi 
popolazioni potrebbe non arrivare mai se in tanti 
si rifiutassero di partecipare per paura di uso inde- 
bito dei risultati. 

Per ora le preoccupazioni riguardo la discri- 
minazione non si sono avverate. Nonostante il 
Progetto Genoma sia stato completato nel 2003, 
l'uso di test genetici non si è diffuso più di tanto, 



quindi c'è poco da divulgare nella cartella sanita- 
ria dell'individuo medio. E il prezzo di un'analisi 
dell'intero genoma è ancora alto (dell'ordine di di- 
verse migliaia di euro). Ma soprattutto ancora non 
disponiamo di tecniche standard che consentano 
di usare l'analisi del genoma per la valutazione del 
rischio sanitario. 

Tuttavia in molte società, in particolare in quel- 
le ricche, i test genetici per malattie multifattoriali 
diventeranno presto una consuetudine. Nuove tec- 
nologie e scoperte scientifiche stanno rendendo i 
test più utili e affidabili, e la migrazione della sani- 
tà dai dati cartacei a quelli elettronici renderà pron- 
tamente accessibile l'informazione genetica. La sal- 
vaguardia della privacy genetica è più complicata 
di quel che si pensa, e le leggi da poco approvate 
negli Stati Uniti, come il Genetic Information Non- 
discrimination Act del 2008, offrono poca protezio- 
ne. È necessario adottare norme più efficaci, prima 
che i test si diffondano e crescano gli abusi. 

Cresce l'informazione disponibile 

Se i concetti di «informazione genetica» e «ma- 
lattie genetiche» fossero di facile definizione, sa- 
rebbe più semplice immaginare la migliore prote- 
zione possibile per la privacy genetica. Purtroppo 
non è così: componenti genetiche si stanno rin- 
tracciando in quasi tutte le malattie, e la distin- 
zione tra informazione sanitaria genetica e non 
genetica sta progressivamente perdendo significa- 
to. Tuttavia i decisori politici hanno preferito dare 
una protezione speciale all'informazione genetica. 




In ambito legale, le definizioni più comuni com- 
prendono i risultati dei test genetici di un indivi- 
duo, quelli dei membri della sua famiglia e la loro 
storia medica (perché i disturbi che ricorrono nelle 
famiglie solitamente hanno un legame genetico). 

I dati che rientrano in queste categorie sono in 
notevole espansione. Nello scorso decennio, la ge- 
netica e le sue applicazioni cliniche si sono sposta- 
te dalle malattie legate a un singolo gene, come la 
fibrosi cistica e la distrofia muscolare, a malattie 
più comuni e più complesse caratterizzate dall'in- 
terazione di diversi geni e fattori ambientali, come 
asma, cancro, malattie cardiovascolari e diabete. I 
test genetici disponibili sono più di 1500, e centi- 
naia sono in via di sviluppo: con l'introduzione di 
questi strumenti nella pratica medica, tra cui l'assi- 
stenza di base, gran parte delle cartelle cliniche, se 
non tutte, conterranno informazioni genetiche. 
Le analisi del genoma potrebbero espandere 
■§. enormemente questi contenuti, perché sono ana- 
o Usi in grado di cercare singole mutazioni tra cen- 
M tinaia di migliaia di basi nucleotidiche - le famose 



lettere del codice genetico, A, T, C, G - associate a 
specifiche patologie. Anche se molti ricercatori ri- 
tengono che sia prematuro usare queste tecnologie 
come analisi di routine, aziende come la 23andMe 
di Mountain View, in California, e la deCODE Ge- 
netics di Reykjavik hanno dato il via all'aggressiva 
commercializzazione di tecniche per analisi geno- 
miche, ma senza avere l'autorizzazione a operare 
come laboratori medici. Tra dieci anni, il sequen- 
ziamento delle tre miliardi di basi che compongo- 
no il DNA umano potrebbe essere disponibile per 
meno di 1000 euro. 

Almeno altri due fattori si aggiungeranno alle 
informazioni presenti nelle cartelle cliniche. L'am- 
bizione di arrivare a una medicina personalizzata - 
farmaci su misura per l'organismo, in modo da per- 
fezionare l'efficacia e ridurre gli effetti collaterali 
- è fondata sulla disponibilità di strumenti di ana- 
lisi genomica. I test «farmacogenomici» sono già 
entranti nella pratica standard per scegliere farma- 
ci e dosaggi con cui trattare alcuni tipi di cancro, e 
questa tendenza continuerà. Allo stesso modo, la 
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tossicogenomica - l'uso di strumenti genomici per 
studiare la risposta individuale alle tossine - sta di- 
ventando sempre più importante per determinare il 
rischio sul posto di lavoro e nell'ambiente. 

Le reti amplificano i rischi 

La protezione delle informazioni sanitarie si de- 
ve confrontare anche con il crescente ricorso a da- 
ti digitali. Ogni tipo di informazione medica sta 
progressivamente migrando dalla carta verso un 
registro sanitario elettronico (RSE) che dovrebbe 
migliorare la qualità dell'assistenza riducendone i 
costi. La transizione sta avvenendo in molti paesi 
sviluppati. Negli Stati Uniti è in fase di sviluppo il 
Nationwide Health Information Network (NHIN), 
una rete nazionale di informazione sanitaria il cui 
fine principale è la creazione di formati elettronici 
che rendano compatibili tra loro tutti i registri sa- 
nitari statunitensi, rendendoli più facili da sposta- 
re attraverso le diverse reti e in tutto il paese. Alla 
fine, l'RSE comprenderà tutte le informazioni me- 
diche «dalla culla alla tomba». A capo dello svi- 
luppo dell'NHIN c'è il Department of Health and 
Human Services, il ministero della Salute, ma so- 
no i governi dei singoli Stati federali e i privati a 
essere impegnati negli aspetti di ricerca e sviluppo 
e nell'adozione di misure adeguate. 

L'NHIN solleva questioni controverse. In un si- 
stema fondato sulla carta la privacy è fondamen- 
talmente difesa dal caos: proprio a causa della 
frammentazione del sistema è quasi impossibi- 
le ottenere, o anche solo localizzare, i dati perso- 
nali conservati da tanti archivi, in luoghi diversi 
e che coprano tempi lunghi. Al contrario, registri 
trasversali e onnicomprensivi conterranno inevi- 
tabilmente informazioni sensibili. Al momento di 
dare informazioni a chi fornisce servizi di assisten- 
za sanitaria non sarà più disponibile l'opzione del 
«ricordo selettivo», né sarà possibile ottenere assi- 
stenza all'insaputa di un altro fornitore. 

Diversamente da oggi, una vecchia diagnosi di 
depressione o i risultati di un test genetico diver- 
ranno un elemento indelebile dell'RSE di ogni per- 
sona. Molte persone in condizioni che possono ge- 
nerare stigma sociale, per esempio una storia di 
abuso di stupefacenti, potrebbero ritardare o evi- 
tare il trattamento: un risultato disastroso per l'in- 
dividuo e per il sistema sanitario. Ma non sempre è 

Le persone temono di non 

essere assunte perché 

considerate un peso per 

l'assicurazione sanitaria 



CURIOSI MA 
SOSPETTOSI 

Secondo un sondaggio condotto 
nel maggio 2008 da Knowledge 
Networks: 

Il 47 per cento degli statunitensi è 
interessato a servizi con cui avere 
cartelle cliniche personali on line, per 
esempio Google Health o Microsoft 
HealthVault. I servizi permettono agli 
utenti di avere il controllo dei propri 
dati registrati nelle cartelle. 



Il 90 per cento degli intervistati 
afferma però di diffidare della 
capacità di questi servizi di 
mantenere segreti i dati personali. 

In risposta ai dubbi, la Markle 
Foundation ha raccomandato come 
mantenere il più possibile privati 
questi sistemi. Alcune clausole 
permetterebbero ai consumatori 
di verificare chi accede ai loro dati 
e contestare le informazioni fornite 
da operatori sanitari. 



necessario un registro sanitario in cui ci siano tutte 
le informazioni disponibili per fornire un'assisten- 
za efficace. Un medico che cura una caviglia sloga- 
ta non ha bisogno di sapere se la paziente ha una 
predisposizione al tumore al seno, e un dentista che 
ottura una carie non ha bisogno di conoscere una 
storia familiare di morbo di Huntington. 

Per proteggere i pazienti dalla diffusione non 
necessaria di informazioni sensibili, alcuni pae- 
si, come Canada, Paesi Bassi e Regno Unito, stan- 
no analizzando sistemi per selezionare le informa- 
zioni che si vuole rendere disponibili a seconda 
dell'operatore sanitario. Queste misure compren- 
dono: completo controllo del paziente sul proprio 
registro sanitario; possibilità di rimuovere infor- 
mazioni del passato; accesso ai soli dati veramen- 
te necessari al personale sanitario; regole speciali 
per proteggere informazioni particolarmente sen- 
sibili; creazione di un sottoinsieme di dati sanitari 
di base accessibili a ogni operatore; e, infine, ban- 
che dati sanitarie indipendenti, che aprano gli ar- 
chivi secondo la volontà del paziente. Nella rete 
degli RSE danesi - una delle più avanzate - ogni 
persona può bloccare i dati contenuti nel proprio 
registro: un'opzione di grande importanza, anche 
se usata raramente. 





Avvisare la famiglia? 



Sara, quarant'anni e tre figli, si è sottoposta ad alcuni test genetici, scoprendo di avere 
un alto rischio di sviluppare il morbo di Alzheimer e il cancro al seno. Ha l'obbligo legale o 
morale di comunicare ai propri figli e ai parenti stretti che anche loro potrebbero essere 
ad alto rischio per queste due malattie? 

Il problema legale è semplice: nessuna sentenza ha mai ritenuto responsabile qualcuno 
per non avere avvisato un parente dei risultati di un test genetico. La questione morale 
dipende da molti fattori: la gravità dell'alterazione genetica, quanto tempo trascorrerà 
prima che i sintomi si manifestino e se la malattia è curabile. Inoltre vanno considerate la 
relazione di parentela (genitore-figlio) e la vicinanza emotiva, nonché l'età dei parenti, il 
loro interesse nel conoscere il rischio di possibili malattie future e la preoccupazione del 
singolo di non divulgare i propri problemi personali. 

Spesso anche la natura del rischio ha notevole importanza. In alcuni casi le condizioni 
genetiche possono essere letali se combinate con stress ambientali. Per esempio, se si usa 
una determinata anestesia durante un intervento chirurgico, gli individui con una mutazione 
genetica per l'ipertermia maligna possono morire. Le persone affette da cardiomiopatia 
ipertrofica possono andare incontro a morte improvvisa per un eccesso di allenamento. 
Questo tipo di rischio giustifica che siano informati i parenti, anch'essi a rischio. 
Ma la condivisione di informazioni genetiche con i membri della famiglia può essere 
pericolosa. Per esempio un test potrebbe rivelare che l'uomo che tutti pensavano fosse il 
padre di suo figlio in realtà non lo è, sconvolgendo gli equilibri familiari. I consulenti 
genetici possono essere d'aiuto nel decidere se sottoporsi a test genetici e come reagire 
ai possibili risultati, ma attualmente negli Stati Uniti i consulenti sono solo 2500. L'errore 
più comune è sottoporsi a un test e decidere che cosa fare solo dopo aver ottenuto i 
risultati. Chi volesse sottoporsi a un test dovrebbe invece decidere in anticipo se 
comunicare i risultati ai parenti più stretti. Non c'è una risposta semplice, il consiglio 
migliore è rivolgersi a un esperto e prevedere le possibili conseguenze. 



Negli Stati Uniti non sono previste misure di 
questo tipo. In febbraio il National Committee on 
Vital Health Statistics, ente consultivo del Diparti- 
mento della Salute, ha raccomandato di lasciare ai 
pazienti la possibilità di decidere se impedire l'ac- 
cesso a informazioni sanitarie sensibili che rientra- 
no in categorie quali violenza domestica, abuso di 
droghe, salute mentale, malattie sessualmente tra- 
smissibili e informazione genetica, ma devono an- 
cora essere messi a punto metodi idonei. 

E ancora non è chiaro come bilanciare accesso 
troppo facile e restrizione eccessiva. Se i pazien- 
ti avessero un forte controllo sui propri dati, i me- 
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dici potrebbero considerare i registri inattendibi- 
li o incompleti. Di conseguenza probabilmente si 
sentirebbero obbligati a richiedere nuovi esami e a 
fare una nuova anamnesi, indebolendo l'efficien- 
za delle reti e aumentando i costi dell'assistenza. 
D'altra parte, se i pazienti avessero poco controllo 
potrebbero assumere un atteggiamento difensivo, 
scegliendo di non essere iscritti nei registri, pagan- 
do per servizi in nero e rifiutando completamente 
determinate cure. 

Ci sono poi altri problemi da risolvere. Per 
esempio si devono adottare regole che impedisca- 
no di sapere di quali medicinali fa uso il paziente, 
anche per sistemi che leggono i registri elettroni- 
ci e consigliano i medici sulle possibili interazio- 
ni dei farmaci? Gli operatori sanitari devono essere 
autorizzati a leggere nella cartella clinica elettro- 
nica che alcuni dati sono stati volontariamente re- 
si inaccessibili? E, in questi casi, è possibile per i 
medici aggirare le restrizioni quando il paziente ha 
bisogno di cure d'emergenza? 

Una legislazione debole 

Con sempre più informazioni genetiche dispo- 
nibili e vaste reti elettroniche all'orizzonte, una le- 
gislazione che protegga la privacy sanitaria è es- 
senziale. Ma purtroppo negli Stati Uniti, e forse 
nemmeno altrove, non ci sono leggi adeguate. La 
cosa più simile a una misura nazionale di prote- 
zione sono l'Health Insurance Portability and Ac- 
countability Act del 1996 (HIPAA) e la legge sulla 
privacy del 2003 allegata all'HIPAA, che regolano 
accesso e uso dell'informazione sanitaria da parte 
di operatori sanitari e assicurazioni. 

Tuttavia c'è un enorme lacuna: la legge si ap- 
plica solo a chi gestisce dati elettronici, ma cen- 
tinaia di migliaia di operatori ancora non lo fan- 
no, tra cui medici che accettano pagamenti solo 
in contanti, palestre che all'atto dell'iscrizione ri- 
chiedono informazioni mediche e operatori sani- 
tari che lavorano grazie a contratti con terze parti, 
per esempio alcuni presidi sanitari sui posti di la- 
voro. Un problema collegato è la mancanza di ap- 
plicazione della legge. Tra l'aprile 2003 e il mag- 
gio 2008 sono state fatte circa 36.000 denunce al 
Dipartimento della Salute ma non è ancora stata 
avviata una sola causa civile: chi commette un il- 
lecito ha pochi deterrenti. 

Inoltre l'HIPAA si applica solo a chi è coinvolto 
nell'assistenza sanitaria. Ma le persone temono so- 
prattutto la stigmatizzazione sociale e la discrimi- 
nazione in altri contesti: quando cercano un lavo- 
ro, stipulano una polizza d'assicurazione sulla vita 
o richiedono l'assistenza sanitaria da parte del da- 
tore di lavoro. Tuttavia in queste occasioni è pras- 
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si richiedere l'autorizzazione per rendere accessibi- 
li i propri dati sanitari. Secondo una stima, almeno 
25 milioni di autorizzazioni di questo tipo sono ri- 
lasciate ogni anno negli Stati Uniti. 

Di solito una richiesta del genere è lecita e la 
salute può avere un'effettiva ricaduta sulle deci- 
sioni da prendere. Un'azienda elettrica, per esem- 
pio, non assumerebbe una persona affetta da cri- 
si epilettiche per riparare i cavi in cima ai tralicci. 
Il problema è la quantità di informazione accessi- 
bile: l'azienda elettrica non ha bisogno di sapere 
che il candidato per un posto di lavoro ha una mu- 
tazione genetica che aumenta il rischio di malattie 
cardiache sul lungo periodo. La decisione sul rim- 
borso delle spese sanitarie da parte del datore di 
lavoro per una frattura a una gamba non necessi- 
ta la conoscenza della salute riproduttiva del lavo- 
ratore. L'assicuratore che gestisce una richiesta di 
rimborso per un dente rotto in un incidente d'au- 
to non ha bisogno di test genetici. Tuttavia, mol- 
te delle leggi che regolano l'accesso ai dati sanita- 
ri sono tanto vaghe da non stabilire alcun limite 
all'ambito delle richieste. 

Ma forse proprio le reti degli RSE potrebbero ri- 
solvere il problema. Un programma potrebbe ana- 
lizzare tutti i registri elettronici e selezionare solo 
i dati pertinenti a una specifica richiesta, ma que- 
sta capacità è legata all'uso di «criteri di accesso 
contestuale», ossia algoritmi che specifichino che 
per una richiesta X servono solo i dati A, B e C. Per 
esempio a chi vende assicurazioni sulla vita i cri- 
teri di accesso contestuale mostrerebbero solo i ri- 
schi di mortalità. Questa tecnologia è fattibile, ma 
non ancora disponibile, e visto che probabilmente 
la domanda del mercato da sola non basterà a in- 
centivarne lo sviluppo, potrebbero essere necessa- 
rie leggi che la richiedano. 

Leggi poco utili 

Data la generale debolezza della legislazione fe- 
derale degli Stati Uniti, diversi Stati della federa- 
zione hanno varato propri leggi di protezione. Nel 
farlo, hanno adottato il concetto di «eccezione ge- 
netica», per indicare il fatto che l'informazione ge- 
netica è trattata diversamente rispetto ad altre for- 
me di informazioni sanitarie sensibili. Se questo 
approccio sia positivo è oggetto discussione, ma è 
simile al modo in cui vengono trattati alcuni da- 
ti relativi alla salute mentale, all'abuso di stupefa- 
centi e all'HIV. 

Per quanto le legislazioni siano differenti, 12 
Stati richiedono che sia dato un consenso scritto 
e informato per un test genetico e 27 richiedono 
il consenso esplicito per consentire l'accesso ai ri- 
sultati. Tuttavia queste leggi, come quelle federali, 



UNA PIOGGIA 
DI DETTAGLI 

Il 1000 Genomes Project, un 
consorzio internazionale di ricerca 
inaugurato quest'anno, vuole creare 
una mappa del genoma umano 
cinque volte più dettagliata rispetto 
a quella creata dall'lnternational 
HapMap Project. 

Le scoperte di quest'ultimo progetto 
hanno prodotto la recente 
esplosione di studi sul genoma 
umano grazie a cui sono state 
identificate più di 130 varianti 
genetiche legate a diverse malattie, 
tra cui diabete di tipo 2, patologie 
coronariche, tumore alla prostata 
e al seno, artrite reumatoide e 
alcune malattie mentali. 
Nei prossimi tre anni il 1000 
Genomes Project spera di 
sequenziare il genoma di almeno 
1000 persone di ogni parte del 
mondo. Per maggiori informazioni: 
www.1 000genomes.org. 
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permettono a compagnie di assicurazioni e dato- 
ri di lavoro di richiedere un'autorizzazione scritta 
per l'accesso alle informazioni mediche. Di conse- 
guenza 47 Stati hanno leggi che vietano agli as- 
sicuratori di negare, limitare o aumentare i costi 
di copertura sulla base di informazioni genetiche. 
L'HIPAA comunque già prevede questi casi per chi 
partecipa a piani sanitari aziendali, e quindi i sin- 
goli Stati hanno esteso la protezione a chi sotto- 
scrive un'assicurazione individuale. 

In 35 Stati altre leggi vietano ai datori di lavoro 
di richiedere un test genetico come condizione per 
l'assunzione e di usare informazioni genetiche pre- 
dittive per escludere un candidato. Tuttavia dopo 
una prima proposta di impiego il datore di lavoro 
può richiedere al candidato l'autorizzazione all'ac- 
cesso al registro sanitario come condizione per l'as- 
sunzione. Le differenze tra la legislazione dei diver- 
si Stati riguardano l'inclusione dei dati genetici in 
quest'ultima richiesta, ma la differenza normativa 
è solo teorica: in pratica è impossibile eliminare i 
dati genetici dai registri cartacei e da quelli elettro- 
nici, almeno fino quando non saranno sviluppati 
efficienti algoritmi ad accesso contestuale. 

È per queste mancanze che il Congresso degli 
Stati Uniti ha subito notevoli pressioni che avevano 
come obiettivo una migliore protezione della pri- 
vacy. In maggio i parlamentari hanno votato il Ge- 
netic Information Nondiscrimination Act (GINA), 
in attesa di approvazione da più di dieci anni. La 
nuova legge vieta alle assicurazioni sanitarie di 
discriminare i clienti in base alle predisposizio- 
ni genetiche. Purtroppo la nuova normativa non 
è migliore, e neppure molto diversa, delle leggi in 
vigore nei diversi Stati federali, e non copre le as- 
sicurazioni sulla vita, per le invalidità o per l'assi- 
stenza sanitaria a lungo termine. 

Soluzioni universali 

I difetti presenti nelle diverse legislazioni (GINA, 
HIPAA e provvedimenti dei singoli Stati) non so- 
no dovuti a dimenticanze o a scappatoie, ma so- 
no il risultato naturale del sistema sanitario statu- 
nitense (si veda l'articolo Riflessioni sulla privacy 
2.0, di Esther Dyson, a p. 54). Negli Stati Uniti l'as- 
sicurazione sanitaria si ottiene in tre modi: piano 
collettivo, come quelli offerti dalla maggior parte 
dei datori di lavoro, assicurazione individuale, pro- 
grammi federali come Medicare o Medicaid. Per i 
piani collettivi o individuali, gli assicuratori calco- 
lano i rischi sanitari individuali o di gruppo per chi 
è coperto dalla polizza, e i premi sono calcolati sul 
relativo rischio. Ovviamente lo scopo principale è 
proteggere l'interesse finanziario degli assicuratori, 
i quali vogliono conoscere le malattie passate e fu- 




ture (genetiche e non) di ogni assicurato, per poter 
calcolare meglio il costo della polizza e allontanare 
chi potrebbe chiedere indennizzi enormi. 

Le leggi sulla privacy già menzionate non si ap- 
plicano a Medicare o Medicaid, perché tecnicamen- 
te questi programmi non sono polizze assicurative, 
ma diritti sociali. Diverse leggi tentano di difendere 
le informazioni contenute in questi programmi, ma 
il governo non ha interesse a conoscere i dati ge- 
netici, perché non ci sono premi da calcolare. 

In realtà i problemi legati alla privacy sono af- 
frontati meglio all'interno di un sistema sanitario 
universale, come quello canadese. In questo qua- 
dro il rischio è spalmato sull'intera popolazione, e 
il fatto che una persona abbia un rischio superio- 
re per una malattia non ha effetto sul calcolo to- 
tale: in questo modo non c'è interesse a conosce- 
re informazioni protette. Questa situazione elimina 
le due preoccupazioni più diffuse: la difficoltà o 
l'impossibilità di ottenere un'assicurazione sanita- 
ria o il rifiuto di un impiego per una malattia che 
potrebbe essere un peso eccessivo per i programmi 
assicurativi aziendali. 

Restano comunque da affrontare le complica- 
zioni legate all'ottenimento di un'assicurazione 
sulla vita, e va sciolto il nodo della protezione dei 
dati da furti o abusi. Ma scompaiono i grandi in- 
centivi alla discriminazione. 
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Canada e Paesi Bassi 
potrebbero dare 
ai pazienti il controllo 
assoluto dei dati sanitari 

o 

Tuttavia è improbabile che gli Stati Uniti adot- 
tino in breve tempo un sistema sanitario universa- 
le. Per questo vanno approvate leggi sulla privacy 
più adeguate e precise, anche se alcuni osserva- 
tori sostengono che le nuove tecnologie geneti- 
che non aggiungano particolari minacce. Anche se 
sono poche le cause intentate per discriminazio- 
ne sul lavoro o nella stipula di assicurazioni sa- 
nitarie, quasi tutti i genetisti medici e i consulen- 
ti hanno incontrato numerosi pazienti che hanno 
rifiutato di sottoporsi a un test genetico per paura 
di una possibile discriminazione o stigmatizzazio- 
ne sociale. (Secondo Francis S. Collins, ex diretto- 
re del National Human Genome Research Institute, 
un terzo dei possibili soggetti di ricerca genetica 
rinunciano per paura di essere discriminati.) Inol- 
tre il numero di test genetici e di persone che vi 
si sottoporranno, nonché la loro utilità, aumente- 
rà notevolmente nel prossimo decennio. E le re- 
ti degli RSE renderanno molto semplice accedere 
all'informazione con un click del mouse. 

Mentre gli Stati Uniti e altri paesi pensano a 
modalità migliori di gestire l'informazione gene- 
tica, i decisori politici hanno capito che proteggere 
la privacy non è facile e nemmeno economico. Mi- 
gliori misure di sicurezza possono evitare l'acces- 
so illecito alle informazioni, ma restringere i ca- 
si di accesso autorizzato è ugualmente importante. 
E essenziale, e diffìcile, decidere chi ha accesso a 
quale informazione e a quale scopo. 

Una legislazione efficace dovrebbe comprende- 
re almeno quattro elementi. Primo, dovrebbe af- 
frontare i problemi legati all'accesso all'assicura- 
zione sanitaria e bilanciare attentamente diritti 
dei lavoratori e quelli dei datori di lavoro. Secon- 
do, andrebbe limitato l'uso di informazioni sanita- 
rie predittive per scopi che non siano strettamente 
medici, tra cui le assicurazioni sulla vita, di inva- 
lidità e di assistenza a lungo termine. Terzo, ogni 
ipotesi legislativa dovrebbe restringere l'estensio- 
ne dell'accesso ai dati, punire gli illeciti e prevede- 
re indennizzi per chi viene danneggiato da acces- 
si illegali. Quarto e ultimo elemento, gli RSE e le 
reti di RSE dovrebbero essere progettati in modo 
da limitare l'accesso a informazioni sanitarie per- 
tinenti. Affrontare questi problemi è un primo ed 
efficace passo per dare un indirizzo al futuro della 
privacy medica. ■ 
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mj) IDENTITÀ ELETTRONICHE 



UNA SOCIETÀ 



ETICHETTATA 



Le RFID, etichette di identificazione a radiofrequenza, già in uso per 
inventariare e tracciare le merci, sono sempre più impiegate 
in un numero crescente di prodotti. Secondo gli attivisti della privacy, 
questa tecnologia pone nuovi rischi per i consumatori 



di Katherine Albrecht 
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IN SINTESI 



Le etichette di 
identificazione a 
radiofrequenza si trovano 
in un numero sempre 
maggiore di prodotti 
e documenti d'identità. 

Poiché le etichette sono 
progettate come potenti 
dispositivi di tracciamento 
e in genere integrano un 
basso livello di sicurezza, 
una persona che le porta 
con sé rischia una 
sorveglianza indebita 
e la creazione di un profilo 
personale. 

In tutto il mondo, i legislatori 
hanno fatto poco per 
informare i cittadini sui 
possibili rischi connessi 
a questa tecnologia. 



^ e vivete in un'area degli Stati Uniti al con- 
fine con il Canada o il Messico è probabile 
che in futuro avrete l'opportunità di dotar- 
vi di un gioiello tecnologico: una patente di gui- 
da leggibile a distanza. Realizzati per identificare 
i cittadini statunitensi che si avvicinano ai confi- 
ni del paese, questi tesserini sono stati promossi 
dal Department of Homeland Security, il dicaste- 
ro che si occupa della sicurezza interna, per rispar- 
miare tempo e semplificare il passaggio alla doga- 
na. Ma se vi preoccupate della privacy ci penserete 
due volte prima di firmare. 

Le nuove patenti sono equipaggiate con eti- 
chette di identificazione a radiofrequenza (RFID), 
che si leggono direttamente nel portafogli, in ta- 
sca o borsa anche a distanza di dieci metri. Ogni 
etichetta, infatti, incorpora un sottile microchip in 
cui è codificato un numero identificativo. Quan- 
do il titolare della patente si avvicina a un posto 
di frontiera le onde radio trasmesse da un disposi- 
tivo di lettura sono captate da un'antenna connes- 
sa al chip, che determina l'emissione di un nume- 
ro identificativo (ID). Mentre il titolare si avvicina 
all'agente di frontiera, il numero è già stato comu- 
nicato alla banca dati del Department of Home- 
land Security, e la fotografia del viaggiatore e al- 
tri dettagli vengono visualizzati su uno schermo in 
dotazione all'agente. 

Anche se l'adozione di questa patente «intellli- 



gente» è facoltativa, gli esperti di privacy e sicu- 
rezza sono preoccupati del fatto che i possessori 
non sono sufficientemente consapevoli del rischio 
che corrono: ogni persona dotata di un dispositi- 
vo di lettura - commercianti senza scrupoli, agenti 
governativi, ladri e semplici spioni - può accede- 
re a dati registrati nella patente per seguire le trac- 
ce delle persone senza il loro consenso. 

Ma ancora più grave è il fatto che una volta as- 
sociata l'etichetta a radiofrequenza a un'identità 
personale - per esempio nel momento in cui un ti- 
tolare di carta di credito sta effettuando una tran- 
sazione - l'etichetta agisce «per procura» del sog- 
getto, cioè senza il suo diretto coinvolgimento. E 
le patenti di guida sono solo l'ultimo tassello di un 
ampio mosaico di oggetti «etichettati» che un con- 
sumatore potrebbero portarsi dietro: pass per le 
autostrade, chiavi elettroniche a tessera, tesserini 
scolastici, carte di credito «senza contatto», ovvero 
che non bisogna passare nel lettore, vestiti, telefo- 
ni e anche merci. 

Le etichette RFID sono state paragonate ai co- 
dici a barre: il confronto è corretto, nel senso che 
nella maggior parte dei casi i piccoli dispositivi 
sono stati usati per identificare oggetti e per far- 
ne un inventario, per esempio capi di bestiame, 
via via che percorrono il cammino lungo la filie- 
ra alimentare. Invece di leggere ogni singolo co- 
dice universale di prodotto, un magazziniere regi- 
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stra i contenuti di un intero bancale, per esempio 
di tovagliette di carta, grazie a un numero di serie 
unico codificato nell'etichetta RFID collegata agli 
oggetti da inventariare. Una banca dati associa poi 
questo codice a una dettagliata lista del contenu- 
to del bancale. 

Ma le persone non sono merci. Durante l'ulti- 
mo decennio l'avvento di chip integrati nei beni di 
largo consumo, ora anche nei documenti d'iden- 
tità, hanno creato una nuova serie di problemi di 
privacy e sicurezza, perché la RFID è una tecnolo- 
gia di controllo davvero potente. Le stesse etichette 
garantiscono un livello di sicurezza piuttosto scar- 
so, e le leggi statunitensi offrono al cittadino una 
protezione inadeguata contro un tracciamento in- 
debito o il furto di dati personali in un ambiente 
sempre più «etichettato». 



Oltre i codici a barre 

Le prime etichette radio identificavano i veli- 
voli militari come amici o nemici durante la se- 
conda guerra mondiale. Ma fu alla fine degli anni 
ottanta che questi dispositivi diventarono la base 
per i sistemi elettronici di pagamento del pedag- 
gio. Nel 1999 le industrie hanno cominciato a con- 
siderare il potenziale delle etichette nel tracciare 
milioni di oggetti personali. In quell'anno, infat- 
ti, Procter&Gamble e Gillette (che da allora han- 
no cominciato a emergere come le più grandi in- 
dustrie del mondo per prodotti di largo consumo) 
hanno formato un consorzio con ingegneri del 
Massachusetts Institute of Technology, l'Auto-ID 
Center, per sviluppare etichette RFID piccole, effi- 
cienti, poco costose e in grado infine di sostituire 
i codici a barre UPC su prodotti di largo consumo 
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IL CONSUMATORE MEDIO non è 
consapevole di quante etichette RFID 
porta con sé. Questi dispositivi sono 
integrati in molti oggetti personali 
e anche in alcuni abiti. 
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quotidiano. Nel 2003 il gruppo ha sviluppato una 
versione preliminare della tecnologia, attraendo 
investimenti da più di 100 società e agenzie gover- 
native. I promotori avevano promesso che i pic- 
coli chip avrebbero rivoluzionato la gestione degli 
inventari e la prevenzione delle contraffazioni (si 
veda l'articolo Quando gli oggetti parlano, di Roy 
Want, in «Le Scienze» n. 426, febbraio 2004). 

Nel 2004, per stimolare l'adozione di questa 
tecnologia, la General Services Administration 
(GSA), l'ufficio federale che gestisce gli acquisti 
per le altre istituzioni governative, aveva pubbli- 
cato un documento in cui esortava i vertici di tutte 
le agenzie federali «a considerare le mosse per far 
avanzare l'industria RFID». E così, all'improvviso, 
praticamente tutte le agenzie governative avevano 
annunciato la sperimentazione di RFID. 

Nello stesso periodo iniziative simili erano in 
corso in tutto il mondo. Nel 2003 l'International Ci- 
vil Aviation Organization (ICAO), agenzia federale 
statunitense che stabilisce gli standard globali per i 
passaporti, aveva approvato l'uso di etichette RFID 
proprio nei passaporti. L'ICAO ora chiede l'introdu- 
zione delle etichette elettroniche in tutti i passapor- 
ti elettronici «a scansione». Attualmente decine di 
paesi hanno emesso passaporti elettronici con eti- 
chette RFID integrate nelle copertine. 

Fin dal loro debutto i nuovi passaporti sono sta- 
ti oggetto di controversie su privacy e sicurezza. 
Nel 2006 un esponente dell'ICAO ha promesso che 
le misure di crittazione e controllo degli accessi, 
quali alcuni rivestimenti protettivi, avrebbero ga- 
rantito un «livello di protezione in grado di rassi- 
curare i più timorosi riguardo la lettura non auto- 
rizzata dei loro dati personali». 

Presto però gli esperti di sicurezza hanno prova- 
to il contrario. Nel 2007, Adam Lamie, consulente 
britannico, ha violato la crittazione di un passa- 
porto del Regno Unito, leggendo informazioni per- 
sonali mentre il documento era ancora sigillato in 
un pacco postale. Poco tempo dopo Lukas Grun- 
wald, un esperto di sicurezza tedesco, ha copiato i 
dati contenuti nel chip integrato di un passaporto 
tedesco e li ha codificati in un'altra etichetta RFID, 
creando un documento clonato in grado di ingan- 
nare un lettore di passaporto elettronico. Altri ri- 
cercatori dell'Univerzita Karlova di Praga, riscon- 
trando simili criticità nel passaporti cechi, hanno 
riferito di «trovare sorprendente l'adozione di un 
sistema che in realtà incoraggia gli attacchi alla si- 
curezza, invece di eliminarli». 

Ma queste dimostrazioni non hanno rallenta- 
to l'adozione di etichette RFID, anzi. La tecnolo- 
gia viene usata per carte d'identità in molti pae- 
si del mondo. La Malaysia ha rilasciato 25 milioni 



Come funziona la tecnologia RFID 



Tipicamente un sistema RFID si basa sull'interazione di un lettore che comunica sia con 
un'etichetta sia con una banca dati contenente l'informazione associata all'etichetta. 
Nella versione minima del sistema, le etichette sono costruite con un circuito integrato 
che codifica un unico numero identificativo (ID) e con una bobina di metallo o un'antenna 
in grado di condurre l'energia ricevuta dal lettore. 




L'etichetta è alimentata dal 
segnale del lettore. Il circuito integrato 
attivato trasmette i dati che codifica. 



Banca dati 



SAI CHE CE 
IN NEGOZIO? 




I negozianti e la grande distribuzione 
stanno sperimentando altri usi per le 
etichette RFID, oltre al tracciamento 
per gli inventari. Questo «specchio 
magico» legge l'etichetta RFID 
attaccata agli abiti e nascosta al loro 
interno per poi visualizzare 
informazioni sul prodotto, su altri 
colori e prodotti complementari. 



di carte di identità elettroniche con RFID. Il Qatar 
sta rilasciando una carta d'identità intelligente che 
memorizza le impronte digitali del titolare, oltre 
alle informazioni personali. E in quello che è sta- 
to definito «il più grande progetto RFID del mon- 
do», il governo cinese sta investendo sei miliardi di 
dollari per fornire di una carta d'identità con RFID 
circa un miliardo di cittadini e residenti. 

Tuttavia c'è una differenza importante tra le 
nuove patenti del Department of Homeland Secu- 
rity e i documenti con RFID rilasciati da altri pa- 
esi. Molti dei documenti di questi paesi sono ba- 
sati su etichette RFID che soddisfano lo standard 
industriale ISO 14443, sviluppato per l'identifica- 
zione e il pagamento con carte di credito, che pre- 
vede un certo grado di protezione della privacy e 
della sicurezza. Le carte statunitensi invece adotta- 
no lo standard RFID noto come EPCglobal Gen 2, 
una tecnologia progettata per tracciare prodotti 
nei magazzini, dove l'obiettivo non è la sicurezza 
ma la massima facilità di lettura. 

Mentre lo standard ISO 14443 include una crit- 
tazione rudimentale e necessita che le etichette 
siano vicine a uno scanner per essere lette (a centi- 
metri invece che a decine di centimetri), le etichet- 
te Gen 2 non hanno crittazione e solo un livello 
minimo di salvaguardia dei dati. Per rubare dati da 
un chip ISO 14443 dittato occorre violare il codice 
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Etichette per tutte le esigenze 



Gli standard dell'EPCglobal classificano le etichette secondo le loro 
prestazioni minime. Ogni classe aggiunge funzioni alla classe I, quella dei 
dispositivi passivi - in cui il lettore inizia la comunicazione e fornisce 
alimentazione - letti da 1 metri. Quelli attivi si leggono da 1 00 metri. 





Funzioni minime 



► Numero identificativo unico 

► Funzione di spegnimento per 
disabilitare l'etichetta 

► Memoria programmabile solo una volta 

► La più recente Gen 2 può essere 
riscrivibile e protetta da password 



• Numero identificativo esteso 

• Memoria aggiuntiva, riscrivibile 

• Accesso tramite password 



• Uno o più sensori e fonte di energia 



» Trasmettitore e fonte di energia 
» Può iniziare la comunicazione con un lettore o un'altra 
etichetta 



Alcuni usi 



• Ricambi e inventari 

• Patente intelligente negli 
Stati Uniti 

• Chiavi a tessera 



• Passaporto elettronico 

• Carta di credito 

• Carte d'identità nazionali 



• Sensori in magazzini 
e container 



• Portachiavi della macchina 

• Targhette per cani 

• Tessere per il pagamento 
del pedaggio autostradale 



di crittazione, mentre non occorre alcuna compe- 
tenza specifica per spiare un'etichetta Gen 2 : ba- 
sta avere un lettore Gen 2, liberamente in vendita 
e usato in magazzini di tutto il mondo. Con questo 
lettore, un hacker o un criminale potrebbe rubare 
il codice di una carta valida per l'espatrio tenuta in 
borsa, anche attraverso una parete. 

Ad aprile di quest'anno, più di 35.000 automo- 
bilisti dello Stato di Washington hanno firmato per 
ottenere patenti intelligenti, e altri Stati di fron- 
tiera hanno trovato un accordo per partecipare al 
programma. E da settembre anche lo Stato di New 
York ha reso disponibili le nuove patenti. 

Ma la possibilità di compromettere la sicurezza 
di questi documenti è solo uno dei motivi di preoc- 
cupazione. Anche se misure più severe potrebbero 
prevenire l'accesso non autorizzato ai dati di una 
carta con RFID, molti difensori della privacy so- 
no preoccupati dal fatto che i documenti di iden- 
tità leggibili a distanza potrebbero essere usati in 
modo illecito da governi che vogliono tenere sotto 
controllo i cittadini. 

Nelle carte di identità della Cina, per esempio, è 
codificata una quantità di informazioni persona- 
li che la maggior parte delle persone potrebbe con- 
siderare scioccante, compresa la storia sanitaria e 
il numero di figli del titolare, la sua professione, 
la sua religione, l'etnia e anche il nome e il nume- 



LE LINEE GUIDA 
DEI PRODUTTORI 

La EPCglobal, consorzio 
industriale che stabilisce 
gli standard per le 
etichette RFID, ha 
pubblicato anche i 
principi per il loro uso 
come «codici elettronici di 
prodotto» nei beni di consumo. 

Informazione: «Ai consumatori sarà 
data una chiara informazione circa la 
presenza di EPC nei prodotti o nel loro 
confezionamento. . . con un logo o altri 
metodi d'identificazione». 

Scelta: «I consumatori saranno 
informati sulla possibilità di rimuovere 
o disabilitare le etichette EPC dai 
prodotti che acquistano». 

Educazione: Le società che usano 
etichette EPC dovranno «rendere 
familiari i consumatori con il logo EPC 
aiutandoli a capire la tecnologia». 

Registrazione: I dati dei consumatori 
associati alle etichette «verranno 
raccolti, usati, mantenuti e 
immagazzinati da società membri di 
EPCglobal in osservanza delle leggi». 




ro di telefono del domicilio del padrone di casa del 
titolare. Ancora più inquietante è che le carte fan- 
no parte di un progetto più ampio che prevede di 
invadere le città cinesi con le più avanzate tecno- 
logie di sorveglianza. Michael Lin, vicepresidente 
della China Public Security Technology, una socie- 
tà privata fornitrice di carte con RFID, le descrive 
senza timore al «New York Times» come «un modo 
per il governo di controllare la popolazione». E an- 
che se altri governi non sfruttano il potenziale di 
sorveglianza intrinseco delle nuove carte d'identi- 
tà, ci sono diverse prove che questi dati potrebbero 
tentare aziende affamate di informazioni. 

Prove generali di Grande Fratello 

Se quest'ultima idea può sembrare inverosimi- 
le, vale la pena considerare un brevetto richiesto 
dallTBM nel 2001 e concesso nel 2006. Il brevet- 
to descrive esattamente come usare carte con RFID 
per tracciare persone e ottenerne profili anche se 
l'accesso a banche dati ufficiali non è disponibile o 
strettamente limitato. Intitolato Identification and 
Tracking ofPersons Using RFID-Tagged Items, il 
brevetto illustra in modo gelido e dettagliato il po- 
tenziale delle etichette RFID per la sorveglianza in 
un mondo in cui lettori RFID in rete tra loro, chia- 
mati «unità per il tracciamento di persone», sono 
presenti virtualmente in ogni luogo dove ci sono 
persone per controllarne da vicino i movimenti in 

«negozi, aeroporti, stazioni ferroviarie, fermate 
degli autobus, ascensori, aerei, sale d'aspet- 
to, stadi, biblioteche teatri e musei». 

Ecco come funzionerebbe un ambien- 
te etichettato: «Uno scanner per etichet- 
te RFID collocato in un luogo desidera- 
to scandisce tutte le etichette identificabili 

presenti sulla persona... Quando la persona si 
muove in un negozio gli scanner disposti in tut- 
to l'ambiente captano segnali radio dalle etichet- 
te RFID che indossa, e il suo movimento è tracciato 
sulla base di queste rilevazioni. L'unità di traccia- 
mento può memorizzare le registrazioni di diffe- 
renti luoghi visitati e il numero dello visite». 

Il fatto che in un'etichetta RFID non siano me- 
morizzati dati personali non è un problema, spiega 
1TBM, perché «l'informazione personale verrà ot- 
tenuta quando la persona usa la carta di credito, o 
quella del negozio, o il Bancomat». Il collegamento 
tra il numero unico dell'etichetta RFID e l'identità 
della persona si deve fare solo una volta affinché la 
carta funzioni sostituendo la persona in tempi suc- 
cessivi. Anche se l'IBM paventa un mondo dove sa- 
rà possibile tracciare le persone grazie a minuscole 
etichette associate a beni di consumo, con le attuali 
carte non occorre aspettare che queste etichette in- 
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JECHT ha conseguito 
il dottorato in scienze dell'educazione 
alla Harvard University e dirige il 
CASPIAN, organizzazione con 15.000 
soci che difende la privacy dei 
consumatori e si oppone alla 
sorveglianza nei punti vendita. Dal 
2003 lavora per denunciare e 
prevenire usi non etici delle etichette 
RFID per i prodotti e per le persone. 
Testimonia regolarmente di fronte 
ai legislatori ed è coautore di 
Spychips (Arianna Editrice, 2008) 
libro che descrive come l'uso delle 
etichette RFID da parte di società 
commerciali e i tentativi di controllo 
su vasta scala minaccino la privacy 
e la sicurezza individuale. 



dividuali si diffondano. Le nuove patenti sarebbero 
l'ideale per tracciare le persone dentro i negozi, vi- 
sto che si possono leggere con scanner Gen 2 usati 
per gli inventari e attualmente usati da catene co- 
me Wal-Mart, Dillard's e American Apparel. 

Un'infrastruttura di tracciamento diventerà sem- 
pre più utile per chi si occupa di marketing via via 
che un numero crescente di persone si porterà die- 
tro oggetti con etichette RFID. Attualmente circola- 
no decine di milioni di carte di credito e Bancomat 
con etichette RFID senza contatto, oltre a milioni 
di badge per uffici. I pass di accesso ai mezzi pub- 
blici basati su questa tecnologia, diffusi in Europa 
e in Giappone, stanno arrivando anche nelle città 
statunitensi. L'unità di tracciamento personale del- 
la IBM è ancora allo stadio di brevetto, ma il parco 
inglese di divertimenti Alton Towers dà un esempio 
tangibile del potenziale di tracciamento delle eti- 
chette RFID. Entrando nel parco, a ogni visitatore 
viene assegnato un braccialetto RFID che codifica 
un unico numero identificativo. Quando le perso- 
ne si divertono con le attrazioni, una rete di lettori 
RFID disposti strategicamente in tutto il parco rile- 
va ogni braccialetto che si avvicina entro un cer- 
to raggio e accende diverse videocamere. La ripresa 
filmata di ogni individuo è memorizzata, a sua in- 
saputa, in un file etichettato con il numero identifi- 
cativo del braccialetto, e poi offerto al cliente come 
souvenir in DVD a fine giornata. 

Proteggere il pubblico 

Se le etichette RFID consentono a un parco di- 
vertimenti di catturare video dettagliati e persona- 
lizzati di migliaia di persone ogni giorno, si im- 
magini che cosa potrebbe fare un governo, per 
non parlare di società commerciali o criminali. Ec- 
co perché con i miei colleghi che si occupano di 
privacy ci siamo opposti fermamente all'uso del- 
la tecnologia RFID nei documenti di identità o nei 
prodotti. Fin dal 2003 la mia organizzazione, la 
Consumers Against Supermarket Privacy Invasion 
and Numbering (CASPIAN), con la Privacy Rights 
Clearinghouse, l'Electronic Privacy Information 
Center, la Electronic Frontier Foundation, l'Ame- 
rican Civil Liberties Union, e più di 40 organizza- 
zioni per le libertà civili hanno riconosciuto que- 
sta minaccia e pubblicato un documento che ha 
dichiarato inappropriato il tracciamento di esseri 
umani con etichette RFID. 

In risposta a queste preoccupazioni, decine di 
Stati federali degli Stati Uniti hanno introdotto 
leggi a protezione del consumatore che sono sta- 
te soppresse o bloccate dalla forte opposizione dei 
lobbisti dell'industria RFID. Quando nel 2006 il Se- 
nato del New Hampshire ha votato una legge che 



Etichette RFID nella vita quotidiana 



Le etichette RFID sono integrate in un numero crescente di 
prodotti che le persone usano tutti i giorni, offrendo molte 



comodità, o aiutando le imprese a gestire gli inventari o la 
sicurezza. Offrono anche nuove opportunità di marketing. 




In un viaggio possono essere coinvolte diverse etichette RFID, 
tra cui pass per il pagamento del pedaggio e portachiavi leggibili 
da distanze significative, passaporti elettronici, patenti di guida 
e, in alcuni aeroporti, etichette RFID per bagagli in transito. 




Combinazione di ID di 
^" u tesserino di biblioteca con 

i etichettati abbonamento mezzi pubblici 



Scuole e biblioteche pubbliche integrano etichette elettroniche 
in tesserini identificativi per studenti, tessere bibliotecarie e libri. 
Nel District of Columbia, un'unica etichetta RFID avrà diverse 
funzioni: identificazione personale per la scuola pubblica, tessera 
della biblioteca e abbonamento ai mezzi pubblici. 



Nei luoghi di lavoro sono già diffuse chiavi elettroniche e tessere 
identificative per i dipendenti. Negli ospedali le etichette RFID 
aiutano a controllare e monitorare le forniture mediche e a tenere 
traccia dei pazienti. 




Nei punti vendita i prodotti sono etichettati per monitorare 
l'inventario e alcuni negozi distribuiscono ai clienti lettori di etichette 
in grado di fornire informazioni o sconti. I negozi potrebbero 
disattivare le etichette dei prodotti acquistati, ma in realtà molti non 
lo fanno. 



avrebbe imposto strette regolamentazioni sulle eti- 
chette RFID, un emendamento dell'ultimo minuto 
l'ha sostituita con uno studio di due anni. Lo stesso 
anno una legge della California che vietava l'uso 
di etichette RFID nei documenti è stata approvata 
da entrambe le camere legislative, per poi subire il 
veto del governatore Arnold Schwarzenegger. 

A livello federale non è stata introdotta alcu- 
na legge di alto profilo a protezione del consuma- 
tore legata alle etichette RFID. Invece nel 2005 una 
commissione parlamentare del Partito Repubblica- 



no ha definito le applicazioni RFID come «eccitan- 
ti nuove tecnologie» con «notevoli prospettive per 
la nostra economia», impegnandosi a proteggere la 
tecnologia RFID da regolamenti e legislazioni. 

Nell'Unione Europea i legislatori stanno esami- 
nando la situazione. La Commissione Europea ha 
riconosciuto il rischio di seri problemi di privacy 
con la tecnologia RFID e all'inizio di quest'anno ha 
aperto un dibattito pubblico. In luglio, quando è 
stato scritto questo articolo, si è stabilito di rendere 
pubbliche le raccomandazioni emerse, ma le aspet- 



tative per qualunque tipo di regolamentazione in 
favore della privacy del consumatore sono limitate. 
Nel marzo 2007 Viviane Reding, Commissario eu- 
ropeo per i media e la società dell'informazione, ha 
annunciato che la commissione non avrebbe rego- 
lamentato la tecnologia RFID, ma avrebbe permes- 
so ai mercati di autoregolarsi. 

Sfortunatamente l'autoregolamentazione del- 
l'industria ha un impatto limitato quando si de- 
ve proteggere il pubblico dai rischi delle etichette 
RFID. L'EPCglobal, associazione di aziende del set- 
tore che stabilisce gli standard per le etichette, ha 
pubblicato linee guida per l'uso dedicato al com- 
mercio. Le raccomandazioni richiedono, tra l'altro, 
che al consumatore sia comunicato quali prodotti 
integrano etichette RFID, per esempio con un logo. 
Inoltre quando la Checkpoint Systems, membro di 
EPCglobal, ha progettato etichette RFID da nascon- 
dere nelle suole delle scarpe, in palese violazione 
dei provvedimenti della stessa organizzazione, Mi- 
ke Meranda, allora presidente di EPCglobal, mi ha 
detto che il rispetto delle linee guida era a discre- 
zione delle aziende: non c'era nulla che lui, o la sua 
organizzazione, poteva o voleva fare a riguardo. 

Lo Stato di Washington ha rassicurato i cittadi- 
ni sul fatto che le loro informazioni personali sono 
al sicuro, perché un'etichetta RFID in una patente 
di guida «non ha fonte di energia» e «non contiene 
alcuna informazione per l'identificazione persona- 
le». Anche se queste caratteristiche sono ininfluen- 
ti al fine di usare le etichette per il tracciamento. 
Per alcune persone, il falso senso di sicurezza for- 
nito da queste rassicurazioni ufficiali potrebbe es- 
sere pericoloso. Un'organizzazione che combatte la 
violenza domestica ha prodotto una testimonianza 
con valore legale che descrive come la tecnologia 
consente a malintenzionati di tracciare, monitora- 
re e molestare le proprie vittime. 

Intanto la diffusione delle RFID procede a passo 
spedito. Gigi Zenk, portavoce dell'agenzia che rila- 
scia le patenti per lo Stato di Washington, ha con- 
fermato che «sulle strade ci sono 10.000 patenti in- 
telligenti». Si tratta già di un notevole potenziale 
per possibili abusi, e non potrà che crescere. Recen- 
temente lo Stato di Washington ha dato una debole 
risposta, approvando una legge che definisce la let- 
tura non autorizzata di un'etichetta come un «pro- 
posito criminoso simile alla frode, al furto d'identi- 
tà o allo stalking», ovvero come un reato soggetto a 
pene fino a cinque anni di reclusione e 10.000 dol- 
lari di ammenda. In nessuna parte dell'attuale le- 
gislazione, si afferma, è vietata la scansione delle 
etichette per fini commerciali, o per «controllare la 
popolazione». Ancora ignoriamo questi pericoli, ed 
è tutto a nostro svantaggio. ■ 



*► Letture 

Spychips: How Major Corporations 
and Government Pian toTrackYour 
Every Move with RFID. Albrecht K. e 
Mclntyre L, Thomas Nelson, 2005. 

Privacy Impact Assessment for the 
Use of Radio Frequency Iden- 
tification (RFID) Technology for 
Border Crossings. U.S. Department of 
Homeland Security, 22 gennaio 2008. 

Orientamenti sulle RFID della 
Commissione Europea: http://ec. 
europa. eu/information_society/policy/ 
rfid/index_en.htm. 



The RFID Ecosystem Project 
dell'Università di Washington: http:// 
rfid.cs.washington.edu. 
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INFORMAZIONI DEL MONDO, 

UNITEVI! 



L'unione di dati personali, dall'estratto conto ai tabulati telefonici, 
in un unico dossier digitale richiama incubi orwelliani. 
Ma è un'idea tutt'altro che facile da mettere in pratica 
come dimostrano tecniche informatiche sviluppate di recente 

di Simson L Garfinkel 





La fusione di dati, ossia il 
collegamento di più banche 
dati, è la bestia nera dei 
paladini della privacy. Ma 
fino a ora la sua 
applicazione riguarda solo 
alcuni contesti specifici, 
come i casinò e il controllo 
dei genitori che non versano 
l'assegno di mantenimento. 

Gli errori e le coincidenze di 
cui sono piene le banche 
dati ostacolano questa 
tecnica. Nuovi algoritmi 
sono in grado di risolvere il 
problema, ma peggiorano il 
rapporto costi-benefici della 
fusione di dati. 



Qualche anno fa mi è capitato di dover 
prendere un aereo per l'Inghilterra. Sul- 
la strada per l'aeroporto mi sono ferma- 
to da Starbucks a prendere un cappuccino, e ot- 
to ore dopo il decollo sono atterrato all'aeroporto 
di Heathrow, dove ho subito acquistato una tesse- 
ra prepagata per il mio cellulare. Poi mi sono di- 
retto verso la stazione ferroviaria per comprare un 
biglietto, ma a quel punto la mia carta di credito si 
è bloccata e non ha più funzionato. 

Solo quando sono tornato negli Stati Uniti ho 
capito che cosa era successo: la consumazione fatta 
da Starbucks, seguita a breve distanza dall'acqui- 
sto di una tessera telefonica dall'altra parte dell'At- 
lantico, aveva fatto scattare un algoritmo antifro- 
de nei computer della mia banca. Il sistema aveva 
provato a contattarmi, trovando però la segreteria 
telefonica, e quindi aveva bloccato la carta. 

Una delle cose più seccanti è che il computer 
avrebbe dovuto sapere che chi stava usando la mia 
carta di credito in Inghilterra ero proprio io. Ave- 
vo acquistato il biglietto con quella stessa carta e 
avevo volato con una delle più conosciute com- 
pagnie aeree statunitensi. Tutte queste banche dati 
non dovrebbero essere collegate tra loro? 

Forse molte persone pensano che sia così. Del 
resto in film e romanzi c'è sempre una misterio- 
sa organizzazione che ha accesso a tutti i nostri 



dati e che è in grado di conoscere qualsiasi nostro 
movimento. Il processo con cui si raccolgono in- 
formazioni da più fonti per poi accorparle, noto 
come fusione di dati [datafusion), dovrebbe ide- 
almente creare una fonte di informazioni più po- 
tente, flessibile e precisa rispetto alle singole fonti 
originarie. I sostenitori di questa tecnologia affer- 
mano che le organizzazioni sono in grado di usa- 
re meglio i dati che già hanno. I critici sostengo- 
no che la fusione di dati minaccia le libertà civili, 
perché consente di sfruttare le informazioni in 
modi non previsti al momento della raccolta. En- 
trambi i gruppi però presumono che la fusione di 
dati funzioni perfettamente. In realtà questi siste- 
mi sono meno onniscienti, affidabili e sviluppati 
di quanto pensiamo. 

Tra molti, uno 

La tecnologia della fusione di dati si può far ri- 
salire ai programmi di data matching (controllo in- 
crociato dei dati) degli anni settanta. Quando nel 
1974 il Congresso degli Stati Uniti approvò la nuo- 
va legge sulla privacy, autorizzò la creazione del 
Federai Parent Locator Service, un servizio per la 
ricerca di genitori che oggi dispone, tra l'altro, di 
un'enorme lista nera di genitori non affidatari che 
non versano l'assegno di mantenimento, i quali 
possono essere privati di tutta una serie di benefi- 
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LA COMBINAZIONE DI PIÙ FONTI 

potrebbe formare un unico profilo grazie 
al processo di fusione di dati. 



ci, per esempio il passaporto. Questi dati sono fu- 
si con quelli della National Directory of New Hires 
(l'elenco dei neo-assunti) per individuare i genitori 
che hanno appena trovato un lavoro e non pagano 
l'assegno, in modo da pignorarne lo stipendio. 

L'espressione «data fusion» è entrata a far parte 
del linguaggio tecnico nel 1984, quando ricercato- 
ri dell'Advanced Technology Center della Lockheed 
Martin pubblicarono due articoli su un sistema di 
«fusione di dati tattici» che accorpava, in tempo re- 
ale, informazioni registrate da sensori sul campo di 
battaglia con banche dati esistenti e altre fonti di 
informazioni in modo da consentirne l'analisi. Da 
quel momento l'idea è diventata molto popolare. 
I ricercatori di bioinformatica parlano di fusione 
di dati genetici. Il Department of Homeland Secu- 
rity, il dicastero federale che si occupa della sicu- 
rezza interna, ha speso più di 250 milioni di dollari 
per creare 58 centri di fusione a livello locale o di 
Stato federale. La Nielsen, una grande azienda di 
marketing, ha sviluppato prodotti per la fusione di 
dati che individuano tra i potenziali clienti quelli 
con determinate caratteristiche, in modo da evita- 
re gli approcci tradizionali di marketing di massa, 
che comportano un notevole spreco di risorse. 

Anche se la fusione di dati ha numerose applica- 
zioni, l'uso che ha scatenato il dibattito pubblico è 
stato quello per l'identificazione di potenziali terro- 




risti. Nel 2006 il contrammiraglio John Poindexter 
e Robert L. Popp, della Defense Advanced Research 
Project Agency, hanno scritto che «per trovare i ter- 
roristi è necessario cercare tracce di attività indica- 
tive di piani terroristici basandosi sull'osservazione 
di piani attuali e di attentati del passato». Secondo 
i due esperti sarebbe stato possibile prevenire l'at- 
tentato del 1993 al World Trade Center e quello del 
1995 a Oklahoma City se solo il governo statuni- 
tense avesse cercato nelle banche dati delle attività 
commerciali le tracce di grandi acquisti di fertiliz- 
zanti effettuati da persone non impiegate in agri- 
coltura. Ma raccogliere dati di questo tipo e combi- 
narli con una banca dati di proprietari terrieri e di 
lavoratori agricoli avrebbe richiesto l'accesso a si- 
stemi informatici privati attualmente inaccessibili 
per il governo. Ogni transazione, e quindi ogni per- 
sona nel paese, sarebbe stata monitorata senza giu- 
stificazione. Per questa e altre ragioni, nel 2003 il 
Congresso ha soppresso il progetto Total Informa- 
tion Awareness elaborato da Poindexter e Popp. 

Un mare di informazioni 

I timori dei difensori delle libertà civili sono sta- 
ti ulteriormente esacerbati dal muro di segretezza 
alzato dal governo. Le agenzie governative han- 
no rivelato pochissimo riguardo i sistemi di fusio- 
ne dati che presumibilmente hanno adottato per 
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FUSIONE 

E CONFUSIONE 

Per scoprire quante informazioni 
sono effettivamente in circolazione, 
un giornalista di «Scientific 
American» ha chiesto a un'azienda 
specializzata un'indagine sui propri 
dati personali (certificato penale, 
situazione immobiliare, situazione 
creditizia e altro ancora). La 
relazione conteneva molti errori, 
per esempio il nome scritto male 
o confuso con omonimi in altre parti 
degli Stati Uniti (molti dei quali 
con un'ipoteca pendente sui propri 
immobili, per fortuna nessuno 
con condanne penali). Dalla 
relazione non emergevano tracce 
di furto di identità. Purtroppo, non 
tutti sono altrettanto fortunati. 
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DATI NASCOSTI 

Molti file creati da un computer, 
tra cui anche i documenti di testo, 
contengono «metadati» (per esempio 
la data di creazione, il nome 
dell'autore e il tipo di computer), 
fogli stile e persino parti cancellate, 
come quei commenti non troppo 
amichevoli che avete scritto sulla 
prima bozza della lettera indirizzata 
al vostro capo. Informazioni di questo 
tipo sono una manna per 
investigatori e giornalisti, e diventano 
incriminatorie se unite ad altri dati. 
L'unico problema è che a volte 
i metadati sono sbagliati. Abbiamo 
analizzato le bozze degli articoli 
di Garfinkel con due programmi per 
l'analisi dei metadati, scoprendo che 
erano stati scritti usando OpenOffice 
su un computer con Windows XP. Ma 
Garfinkel in realtà li ha scritti con 
Microsoft Office 2008 su un Mac. 
Una delle bozze era stata rivista 
139 volte, confermando che il nostro 
collaboratore ha lavorato sodo. 



proteggere la sicurezza degli Stati Uniti: secondo il 
governo, per i terroristi sarebbe più facile aggirare 
i programmi di difesa se sapessero come funziona- 
no. Le informazioni disponibili pubblicamente so- 
no però sufficienti ad affermare che la fusione di 
dati pone problemi etici, legali e tecnici. 

Uno di questi ultimi è la qualità dei dati. Mol- 
te informazioni delle banche dati sono state rac- 
colte per usi statistici, e potrebbero non essere ab- 
bastanza precise per effettuare giudizi automatici 
con possibili conseguenze legali. Nel 1994 Roger 
Clarke, dell'Australian National University di Can- 
berra, studiò i programmi di incrocio di dati usa- 
ti da Stati Uniti e Australia. Questi sistemi esami- 
navano milioni di cartelle personali, segnalando 
migliaia di potenziali «colpevoli». Molti, però, era- 
no falsi positivi. Per esempio c'era un programma 
per individuare falsi invalidi che confrontava i dati 
dell'ente federale che si occupa di salute con elen- 
chi di beneficiari di sussidi nell'area di Washing- 
ton. Il software aveva individuato circa 1000 fro- 
di, ma ulteriori ricerche avevano scoperto che tre 
quarti delle persone segnalate erano innocenti. 



I costi della raccolta dati, dell'addestramento del 
personale e del controllo dei falsi positivi non era- 
no quindi compensati da benefici adeguati. 

Molti ritengono che se un programma di fusione 
previene un attacco terroristico allora qualsiasi co- 
sto è giustificato. Poindexter ha però paragonato la 
caccia a potenziali terroristi alla ricerca di un sotto- 
marino nemico negli oceani. In realtà, trovare trac- 
ce di terroristi in un mare di dati è molto più difficile 
che trovare un sottomarino in un mare d'acqua. Gli 
oceani sono immensi, ma ogni loro punto è identi- 
ficato da latitudine, longitudine e profondità. I mari 
di dati, invece, non sono facili da categorizzare e il 
volume dei dati raddoppia ogni pochi anni, mentre 
quello dei mari è costante. Infine, gran parte dello 
spazio occupato dalle informazioni non è conosciu- 
to: i dati sono sparpagliati su milioni di computer, 
di cui molti nascosti o ignoti alle autorità. 

La fusione di dati è difficile, perché siamo som- 
mersi da una moltitudine di dati provenienti da in- 
numerevoli fonti, ognuna con un differente livello 
di dettaglio e affidabilità. La vera sfida quindi non 
è raccogliere i dati, ma interpretarli. 
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Che cosa c'è nel tuo disco rigido? 

Un buon punto di partenza per capire quali so- 
no i problemi della fusione di dati è il disco rigi- 
do del computer. Tra il 1998 e il 2005 ho comprato 
più di 1000 hard disk usati su e-Bay, in piccoli ne- 
gozi di computer e mercatini. Ne ho persino recu- 
perati alcuni da computer abbandonati per strada. 
Nel gennaio 2003 io e Abhi Shelat, oggi informati- 
co all'Università della Virginia, abbiamo pubblica- 
to i risultati dei nostri studi su questi hard disk. 

Circa un terzo dei dischi era fuori uso, e un altro 
terzo era stato cancellato in maniera corretta prima 
di essere buttato. Il rimanente terzo, però, era una 
miniera di informazioni personali: messaggi di po- 
sta elettronica, comunicazioni aziendali, contabili- 
tà. Un disco proveniva da uno sportello Bancomat 
e conteneva migliaia di numeri di carte di credito. 
Un altro era stato usato in un supermercato per in- 
viare i pagamenti con carta di credito alla banca. 
Nessuno dei due era stato cancellato correttamente 
prima di essere rivenduto. 

Gli strumenti che ho usato per esaminare questi 
dischi sono facilmente reperibili e non sono parti- 
colarmente complicati: sono gli stessi che le polizie 
di tutto il mondo usano per recuperare file da com- 
puter o telefoni cellulari. A volte all'interno di do- 
cumenti visibili sono nascosti dati invisibili. Si con- 
sideri per esempio il caso del killer BTK, che tra gli 
anni settanta e ottanta commise otto omicidi a Wi- 
chita, in Kansas, per poi sparire. Riapparve a marzo 
2004, con una lettera al quotidiano «Wichita Eagle», 
in cui forniva dettagli dei suoi precedenti crimini, e 
con un floppy disk contenente una lettera destina- 
ta a un'emittente locale. Il file in formato Microsoft 
Word conteneva però «metadati» che lo ricollegava- 
no al computer di una chiesa locale. La polizia con- 
trollò la chiesa, scoprendo che la persona che aveva 
usato il computer per scrivere la lettera era il presi- 
dente della congregazione, nonché il killer. 

Le impronte digitali dei file 

Distinguere i documenti importanti da quel- 
li inutili è un'operazione complicata, che richie- 
de la fusione di dati presenti sull'hard disk con al- 
tri provenienti dall'esterno. Per esempio negli anni 
novanta iniziai ad analizzare dischi rigidi, trovan- 
do spesso copie di una pubblicazione chiamata 
«Island Hopper News». La cosa mi sembrò sospetta, 
poi venni a sapere che questo presunto quotidiano 
elettronico in realtà era un file distribuito da Mi- 
crosoft con il software Visual Studio 6.0. Se non lo 
avessi scoperto, chissà quali conclusioni avrei trat- 
to sui proprietari degli hard disk. 

L'unico modo per distinguere i file innocen- 
ti da quelli sospetti è monitorare i documenti di- 



na 





SIMS0N L. GARFINKEL opera tra 
il mondo accademico, il giornalismo 
e l'industria. Lavora come 
informatico alla Naval Postgraduate 
School di Monterey, in California, 
dove si occupa di indagini 
informatiche, sicurezza, privacy 
e tattiche terroristiche. Ha anche 
fondato un'azienda di sicurezza 
informatica ed è detentore di 
numerosi brevetti. Le idee espresse 
in questo articolo riflettono 
'opinione dell'autore e non quelle 
del governo degli Stati Uniti. 



www.lescienze.it 



LE SCIENZE 97 



gitali prodotti globalmente e creare una lista dei fi- 
le comunemente disponibili. Un sistema veloce e 
automatico consiste nel creare un elenco di hash. 
Gli algoritmi di «hash crittografici» sono funzioni 
in grado di assegnare a qualunque file un'impron- 
ta digitale unica e con dimensioni ridotte. Due dei 
più diffusi sono l'MD5, che crea hash di 128 bit, e 
lo SHA-1, che genera hash di 160 bit. Successiva- 
mente, invece di confrontare due file byte per byte, 
è possibile confrontare le loro impronte digitali. 

Grazie a finanziamenti del dicastero della giu- 
stizia, la National Software Reference Library del 
National Institute of Standards and Technology 
(NIST) acquisisce centinaia di prodotti software e 
calcola l'hash crittografato di ogni file. Successi- 
vamente il NIST distribuisce questa banca dati, che 
oggi contiene più di 46 milioni di hash, agli inve- 
stigatori, i quali dispongono di un sistema pratico 
e affidabile per riconoscere file da ignorare. Altre 
agenzie governative forniscono banche con hash 
di file pedopornografici e programmi usati dai pi- 
rati informatici. 

Anche se sono utili, gli elenchi di hash rappre- 
sentano però una minima parte dei documenti in 
circolazione. Per aumentare l'efficacia di questo si- 
stema ho sviluppato l'analisi cross-drive, che rimet- 
te automaticamente insieme informazioni sparpa- 
gliate su migliaia di hard disk, penne USB e altre 
fonti di dati. Questa tecnica individua e isola ele- 
menti identificativi quali indirizzi e-mail e nume- 
ri di carta di credito, valutando anche la frequenza 
con cui compaiono. In generale, più è frequente un 
elemento identificativo minore è la sua importan- 
za. Gli elementi identificativi trovati su vari dispo- 
sitivi vengono confrontati: se un indirizzo e-mail o 
il numero di una carta di credito compaiono solo su 
due tra migliaia di dispositivi, allora ci sono buone 
probabilità che quei dispositivi siano collegati. 

Riconoscere l'identità 

Un altro problema che riguarda la fusione di 
dati è l'identità. Nel mondo elettronico potrebbe- 
ro esserci decine di persone con lo stesso nome e 
decine di nomi usati dalla stessa persona. Alcune 
banche dati potrebbero aver registrato Poindexter 
come John Marlan Poindexter o come J.M. Poin- 
dexter, oppure potrebbero aver scritto male il co- 
gnome, registrandolo come Pointexter. Il nome di 
battesimo di una persona potrebbe essere Robert 
in una banca dati, Rob in un altra e Bob in un altra 
ancora. Una persona araba il cui nome in un paese 
africano è traslitterato come Haj Imhemed Otmane 
Abderaqib, in Iraq potrebbe essere registrata come 
Hajj Mohamed Uthman Abd al Ragib. 

Il processo che fa corrispondere a una persona 




FURTO 

DI IDENTITÀ 

Molti dipendenti di «Scientific 
American» hanno subito forme non 
gravi di furto di identità. Anche se 
sconcertante, il problema resta 
contenuto perché le banche dati 
sono isolate runa dall'altra. 
Ma il numero di collegamenti sta 
crescendo, e il furto di informazioni 
potrebbe estendersi a tutta l'identità 
digitale del derubato. 

Una nostra collega si è vista 
bloccare la carta di credito dalla 
banca che ha registrato alcune 
transazioni insolite di cui molte 
erano legittime, tranne due. Rimane 
un mistero l'identità di chi ha rubato 
il numero della carta di credito. 



Un'altra persona ha ricevuto 
la notifica del cambiamento 
di indirizzo dalla propria società 
di consulenza finanziaria. Il nuovo 
indirizzo, però, non era il suo. Il 
consulente, da poco assunto dalla 
finanziaria, fingeva di non sapere 
nulla. La società ha chiamato la 
polizia, scoprendo che il neoassunto 
pescava gli account che riteneva 
inattivi e trasferiva il denaro 
a un complice, che poi lo incassava. 

Una persona ha cominciato 
a ricevere cartelle di pagamento 
dalla propria compagnia telefonica. 
Evidentemente qualcuno aveva 
aperto un contratto usando il suo 
nome. C'è voluto un anno 
per risolvere il problema 
e ripristinare il suo rating creditizio. 



in carne e ossa ciascuno dei nomi e numeri di ac- 
count che popolano il mondo elettronico è detto 
risoluzione dell'identità [identity resolution). Sen- 
za questo processo, la fusione di dati è impossibile. 
Curiosamente, un grosso contributo allo sviluppo 
dei sistemi di risoluzione è arrivato dai casinò di 
Las Vegas. In base alle leggi dello Stato del Nevada 
i casinò devono impedire l'accesso a persone con 
problemi di dipendenza dal gioco d'azzardo. Que- 
ste persone inseriscono volontariamente il proprio 
nome in una lista, chiedendo di non farle giocare. 
Quando però il gioco diventa una malattia, alcune 
di queste persone tentano di entrare, fornendo un 
nome leggermente diverso o cambiando la data di 
nascita. I casinò poi cercano di impedire l'accesso 
anche ai bari, sospetti o accertati, e se un giocato- 
re sta vincendo molto al tavolo del blackjack la sa- 
la da gioco si accerta che lui e il croupier non sia- 
no parenti o alloggino nella stessa camera. 

I casinò hanno finanziato lo sviluppo di una tec- 
nologia chiamata NonObvious Rclationship Analy- 
sis (NORA), che combina le risoluzioni di identità 
con banche dati di istituti di credito, della pubblica 
amministrazione e con i registri degli hotel. Un si- 
stema NORA, per esempio, può scoprire se la mo- 
glie di un croupier del blackjack ha vissuto nello 
stesso edificio del giocatore che ha appena vinto 
100.000 dollari. Negli anni novanta l'informatico 
Jeff Jonas ha sviluppato un sistema che confron- 
ta i nomi registrati nel computer di un casinò con 
altre informazioni in modo da tollerare errori, am- 
biguità e incertezze. Il sistema formula ipotesi ba- 
sandosi sui dati di cui dispone, e poi le aggiorna 
man mano che nuovi dati diventano disponibili. 

Ammettiamo che il sistema registri i dati del- 
la patente di Marc R. Smith, la situazione crediti- 
zia di Randal Smith e la richiesta di un prestito da 
parte di Marc Randy Smith. Il sistema può ipotiz- 
zare che questi nomi si riferiscano alla stessa per- 
sona, specialmente se Marc R. Smith e Marc Ran- 
dy Smith hanno lo stesso numero di patente e se 
Randal Smith e Marc Randy Smith hanno lo stes- 
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so numero di telefono. Se però viene a sapere che 
Randal Smith è nato nel 1974 e Randy Smith nel 
1934,il sistema rifiuta l'ipotesi precedente e decide 
che Randal Smith è in realtà Randal Smith Jr., fi- 
glio di Randy Smith Sr. Il segreto per far funzionare 
un sistema di questo tipo è programmarlo in modo 
che non confonda mai i dati originari con una con- 
clusione estrapolata da quei dati. 

Nel 2005 Jonas ha venduto sistema e azienda 
all'IBM. Da allora l'IBM ha aggiunto una funzio- 
ne, chiamata anonymous resolution, che consente 
a due organizzazioni di determinare se le informa- 
zioni presenti nelle loro banche dati si riferiscono 
alla stessa persona, evitando però di doversi scam- 
biare i nomi di tutte le persone registrate. La tecni- 
ca funziona confrontando gli hash crittografici. 

I difensori della privacy, tuttavia, affermano che 
hash, analisi cross-drive e risoluzione anonima 
non risolvono il problema. Questi sistemi usano 
informazioni personali per scopi diversi da quel- 
li per cui erano state raccolte. Inoltre rendono co- 
mune il controllo a tappeto di dati personali, indi- 
pendentemente dal fatto che le persone controllate 
siano sospettate o meno di un reato. Ma questi si- 
stemi generano meno falsi positivi rispetto a quel- 
li sviluppati negli anni ottanta. I benefici a livello 
sociale potrebbero quindi controbilanciare la per- 
dita di riservatezza dovuta ai controlli. 

Bilancio finale 

In conclusione, a che livello di efficienza sono 
arrivati i sistemi di fusione di dati? La qualità dei 
dati rimane un serio problema. Per esempio, se un 
cittadino statunitense chiedesse un certificato sulla 
propria situazione creditizia alle tre più importan- 
ti agenzie di valutazione della solvibilità, probabil- 
mente noterebbe errori e discrepanze in tutte e tre 
le relazioni. Situazioni di questo tipo possono re- 
stare nascoste per anni senza causare problemi, fi- 
no al giorno in cui un nuovo algoritmo interpreta 
quelle discrepanze nella maniera sbagliata. 

Ma anche quando i dati sono precisi, le corre- 
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lazioni possono essere coincidenze: 
un po' come trovare nella stessa 
stanza due persone con la stes- 
sa data di nascita. Forse quei 
quattro individui sospettosi che 
si incontrano una volta alla set- 
timana per fare un lungo giro in 
macchina stanno organizzando 
qualcosa di losco. O forse fanno par- 
te della stessa squadra di calcio e ogni settimana 
vanno alla partita insieme. 

Ci sono aspettative troppo elevate sulla fusio- 
ne di dati. Se alcuni terroristi si mescolassero con 
la popolazione, sia gli investigatori sia i compu- 
ter avrebbero grosse difficoltà a individuarli. Nella 
maggior parte dei sistemi di fusione di dati e di data 
mining si può regolare il livello di sensibilità: se si 
sposta il cursore verso sinistra, il sistema non trova 
più le correlazioni reali; se lo si sposta verso destra, 
fa troppe previsioni sbagliate. Quale dovrebbe esse- 
re la posizione giusta? Se il sistema di una compa- 
gnia aerea segnala un passeggero su tre come una 
possibile minaccia, avrà più probabilità di trovare 
un vero terrorista, ma causerà anche il blocco del 
traffico aereo e un superlavoro per la polizia. 

Quando un sistema di fusione di dati non fun- 
ziona come dovrebbe, la causa può essere un er- 
rore di programmazione, oppure una quantità in- 
sufficiente di dati. Analogamente, se un sistema 
funziona bene, fornirgli più dati potrebbe farlo 
funzionare ancora meglio. Per questo motivo chi 
progetta e usa sistemi del genere inserisce quanti- 
tà di dati sempre maggiori, indipendentemente dai 
risultati che ottengono. Non è un caso che i pro- 
getti di fusione di dati abbiano la tendenza con- 
genita a espandersi e andare oltre i propri obiettivi 
iniziali. Nel suo articolo del 1994 Clarke conclude- 
va dicendo che il conflitto «tra volontà di controllo 
sociale dello Stato e volontà dei singoli cittadini di 
essere liberi da interferenze irragionevoli si risolve 
sistematicamente in favore dello Stato». 

Secondo me, a rendere frustrante il dibattito sul- 
la fusione di dati è il fatto che siano state rilasciate 
pochissime informazioni sui sistemi in uso. La que- 
stione ricorda il dibattito degli anni novanta sul- 
la crittografia, quando il governo statunitense so- 
steneva di avere buone ragioni per limitare l'uso di 
questa tecnologia, ma che le ragioni erano delicate 
e discuterne in pubblico avrebbe messo in perico- 
lo la sicurezza nazionale. Credo che stia nascendo 
un dibattito dello stesso tenore sull'uso statale del- 
la fusione di dati, per non parlare delle applicazio- 
ni di questa tecnica alla sfera economica e politica. 
Si tratta di un dibattito che va approfondito, ma a 
patto di farlo pubblicamente. ■ 
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RUDI MATEMATICI 



Matematica di Halloween 



di Rodolfo Clerico, 

Piero Fabbri 

e Francesca Ortenzio 



La soluzione del problema esposto 

in queste pagine sarà pubblicata 

in forma breve sul numero 

di dicembre, e in forma estesa 

sul nostro sito: www.lescienze.it. 

Potete mandare le vostre risposte 

all'indirizzo e-mail: rudi@lescienze.it. 




Il Capo ha una cordiale antipatia per le zucche, ma questo non gli impedisce 
di rovinare la festa ad Alice e Piotr con i suoi problemi... 



"Z 



ucche, zucche, zucche. Non se ne può 
più...». L'esclamazione di Rudy, trasu- 
dante rassegnazione da ogni lettera, 
una volta tanto non era diretta alle teste di Piotr e 
Alice, ma all'inflazione di ortaggi arancioni, incisi 
e illuminati da lumini, che si affacciavano da tutte 
le vetrine della via». 

«Smettila di fare il sostenuto, Capo. Io le trovo 
carine». 

«Treccia, il tuo è sguardo superficiale: è in su- 
perfìcie che abita sempre il concetto di carino. Io 
invece vado in profondità, e mi chiedo: "dove fi- 
nisce tutta la polpa?" Per questo non riesco an- 
cora a decidere dove cenare: odio la zucca, ma i 
locali non saranno così folli da buttare via tut- 
to il contenuto ricavato dallo svuotamento delle 
cucurbitacee, e allora... Poi non sono bravo a di- 
segnare, e ancora meno a sagomare facce strego- 
nesche. Se metti tutto insieme, capisci facilmen- 
te perché, per un certo periodo, sono stato un fan 
degli Smashing Pumpkins. Mica per la musica, so- 
lo per il nome». 

«Il solito xenofobo e conservatore: siccome Hal- 
loween non è una delle nostre feste tradizionali, 
fai il fustigatore di costumi...». «Ma niente affat- 
to, Piotr! Io limito il mio disamore alle zucche, la 
festa in sé non mi dispiace affatto. Che i bambini 
vadano in giro mascherati a chiedere "Dolcetto o 
scherzetto?" è abbastanza divertente. Negli usi ita- 
lici, specie nelle campagne settentrionali, si trova- 
no molte abitudini simili». 

«Davvero?» 

«Certo. In fondo Halloween è una festa di origi- 
ne celtica, non californiana: e in molti posti ci so- 
no feste autunnali con zucche e rape svuotate e 
illuminate. Anche dalle mie parti, dove però non 
erano bambini, ma ragazzi e adulti che andavano 
in giro per le cascine a cantare e suonare, riceven- 
do in cambio un po' di sano cibo di campagna». 

«Cantare, tu? è una balla, questa storia, oppu- 
re ti riempivano di cibo solo per farti smettere», ri- 
batte Alice. 

«Spiritosa. Comunque, mutatis mutandis, vede- 
te bene che non posso aver niente contro la vigilia 
d'Ognissanti. Ragazzi, certe mangiate si facevano, 
subito dopo il giro delle cascine!». 

«Spolveravate tutto la sera stessa? Non divide- 
vate il malloppo per portarlo a casa?». 



«Troppo complicato. La divisione del bottino è 
un momento delicato. A questo proposito...». 

«No, non provarci neppure!» ringhia Piotr. 

«Certo che ci provo, anzi lo sto già facendo, 
senza bisogno di prove. Immaginiamo che un vi- 
spo ragazzino, dopo avervi svuotato la dispensa 
di cioccolatini, vi illustri come lui e la sua banda 
hanno intenzione di dividere i dolcetti, che è me- 
todo complicato. La parte del primo più la metà di 
quello che avranno tutti gli altri deve essere ugua- 
le alla parte del secondo più un terzo di quello che 
avranno tutti gli altri; del resto, queste grandez- 



bristi nani travestiti, sarebbero folli lo stesso. Non 
sarebbero mai riusciti ad accordarsi su un meto- 
do del genere». 

«Cosa che mi ricorda una celebre battuta di 
Martin Gardner sulla ricorsività: al Congresso dei 
Logici non si può presentare una mozione senza 
aver prima presentato una mozione sull'opportuu- 
nità di presentare la mozione, ma per presentare 
questa mozione...». «Piantala! È solo un parados- 
so logico, e le mozioni non hanno mai avuto nien- 
te a che fare né con Halloween né tanto meno con 
la divisione delle caramelle.» 

«Questo lo dici tu, Doc. Supponiamo che quattro 
ragazzini (Fantasma, Impiccato, Scheletro e Zom- 
bie) abbiano fatto incetta di caramelle. Sono, come 
sempre, maledettamente antipatici, maledettamen- 
te logici e maledettamente egoisti, e hanno deciso 
che per dividersi il mucchio presenteranno a turno 
delle proposte di distribuzione. Solo che hanno de- 
finito quattro regole rigidissime, per la procedura 
dell'avanzamento proposte: 

1) si vota in ordine alfabetico; 

2) ogni proposta viene immediatamente votata da- 
gli aventi diritto; 

3) se la maggioranza è d'accordo su una proposta, 
si procede subito alla messa in atto della proposta; 

4) chi invece vede la propria proposta bocciata, 
perde il diritto di partecipazione alle votazioni suc- 
cessive, e non avrà nessuna caramella». 

«Rudy, dovessi mai incontrare questi ragazzini, 
giuro che li trasformo seduta stante nei loro trave- 
stimenti. E gli frego pure le caramelle». 

«Ma Alice! Certi commenti me li aspetto da 
quella zucca vuota di Piotr, ma da te? Non senti 
vibrare un femminile istinto materno nei confron- 
ti dei cari frugoletti? Non vuoi dirmi come andrà a 
finire la loro divisione del malloppo?». «Mi vengo- 
no in mente solo risposte impronunciabili. E quasi 
tutte comportano usi impropri delle zucche...». 



ze uguali fra loro devono anche essere uguali alla 
parte del terzo più un quarto di quello che hanno 
preso tutti gli altri, e così via, fino all'uguaglianza 
con la parte dell'ennesimo più la [n + l)esima par- 
te di quello che hanno preso tutti gli altri.» 

«Ragazzini? Halloween? Capo, questo tentati- 
vo di ambientare un problema è patetico... Quan- 
ti sono in tutto questi algebristi nani travestiti da 
ragazzini?». 

«Questo me lo devi dire tu. E mi devi dire anche 
quanti cioccolatini ti servono, come minimo. Su, 
su, non fate quelle facce... Posso aggiungere che 
quello che prende più cioccolatini ne prende alme- 
no dieci volte di più di quello che ne prende di me- 
no». «Sai una cosa? Anche fossero davvero alge- 



Le sette candeline del ristorante cinese 



Ricordate i problemi del mese scorso? 
Chiedevamo di spegnere sette candeline 
tenendo presente che, agendo su una di 
esse, cambiavano di stato anche le due 
adiacenti. Un metodo veloce è di agire sulla 
prima (spegnendola, e quindi spegnendo 
anche la seconda e la settima), quindi sulla 
seconda (accendendola, riaccendendo così 
anche la prima ma spegnendo la terza), e 
avanti in questo modo. 
Nella figura a destra figura trovate un 
fulmine sulla candela sulla quale si agisce e 



lo stato finale di tutte le candele generato 
dall'azione. In sette mosse riuscirete a 
spegnerle tutte. 

Invece per il gioco delle monete nella 
fontana non ci sono soluzioni: lo si capisce 
facendo un controllo di parità: all'inizio un 
numero pari di monete di almeno una delle 
fontane mostrano la fronte, mentre alla fine 
tutte le vasche devono avere un numero 
dispari di monete che mostrano la fronte. 
Con le mosse lecite, la parità iniziale non è 
riconducibile a quella finale. 
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